Cisco IE 3000 スイッチコマンドリファレンス

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

ご利用いただける言語

Download Options

Book Title

Cisco IE 3000 スイッチコマンドリファレンス

Chapter Title

Cisco IE 3000 スイッチ Cisco IOS コマンド-1

PDF - Complete Book (29.75 MB) PDF - This Chapter (3.69 MB)
View with Adobe Reader on a variety of devices

検索結果

Updated:: 2017年6月20日

章のタイトル： Cisco IE 3000 スイッチ Cisco IOS コマンド-1

aaa accounting dot1x
aaa authentication dot1x
aaa authorization network
action
alarm facility fcs-hysteresis
alarm facility power-supply
alarm facility temperature
alarm profile (global configuration)
alarm profile (interface configuration)
alarm relay-mode
archive download-sw
archive tar
archive upload-sw
arp access-list
authentication command bounce-port ignore
authentication command disable-port ignore
authentication control-direction
authentication event
authentication fallback
authentication host-mode
authentication mac-move permit
authentication open
authentication order
authentication periodic
authentication port-control
authentication priority
authentication timer
authentication violation
auto qos voip
boot config-file
boot enable-break
boot helper
boot helper-config-file
boot manual
boot private-config-file
boot system
channel-group
channel-protocol
cip enable
cip security
cisp enable
class
class-map
clear dot1x
clear eap sessions
clear errdisable interface
clear arp inspection log
clear ip arp inspection statistics
clear ip dhcp snooping
clear ipc
clear ipv6 dhcp conflict
clear l2protocol-tunnel counters
clear lacp
clear mac address-table
clear mac address-table move update
clear nmsp statistics
clear pagp
clear port-security
clear rep counters
clear spanning-tree counters
clear spanning-tree detected-protocols
clear vmps statistics
clear vtp counters
cluster commander-address
cluster discovery hop-count
cluster enable
cluster holdtime
cluster member
cluster outside-interface
cluster run
cluster standby-group
cluster timer
define interface-range
delete
deny (ARP access-list configuration)
deny (IPv6 access-list configuration)
deny (MAC access-list configuration)
dot1x
dot1x auth-fail max-attempts
dot1x auth-fail vlan
dot1x control-direction
dot1x credentials (global configuration)
dot1x critical (global configuration)
dot1x critical (interface configuration)
dot1x default
dot1x fallback
dot1x guest-vlan
dot1x host-mode
dot1x initialize
dot1x mac-auth-bypass
dot1x max-reauth-req
dot1x max-req
dot1x pae
dot1x port-control
dot1x re-authenticate
dot1x reauthentication
dot1x supplicant force-multicast
dot1x test eapol-capable
dot1x test timeout
dot1x timeout
dot1x violation-mode
duplex
errdisable detect cause
errdisable detect cause small-frame
errdisable recovery cause small-frame
errdisable recovery
exception crashinfo
fallback profile
fcs-threshold
flowcontrol
interface port-channel
interface range
interface vlan
ip access-group
ip address
ip admission
ip admission name proxy http
ip arp inspection filter vlan
ip arp inspection limit
ip arp inspection log-buffer
ip arp inspection trust
ip arp inspection validate
ip arp inspection vlan
ip arp inspection vlan logging
ip dhcp snooping
ip dhcp snooping binding
ip dhcp snooping database
ip dhcp snooping information option
ip dhcp snooping information option allow-untrusted
ip dhcp snooping information option format remote-id
ip dhcp snooping limit rate
ip dhcp snooping trust
ip dhcp snooping verify
ip dhcp snooping vlan
ip dhcp snooping vlan information option format-type circuit-id string
ip igmp filter
ip igmp max-groups
ip igmp profile
ip igmp snooping
ip igmp snooping last-member-query-interval
ip igmp snooping querier
ip igmp snooping report-suppression
ip igmp snooping tcn
ip igmp snooping tcn flood
ip igmp snooping vlan immediate-leave
ip igmp snooping vlan mrouter
ip igmp snooping vlan static
ip source binding
ip ssh
ip sticky-arp (global configuration)
ip sticky-arp (interface configuration)
ip verify source
ipv6 access-list
ipv6 address dhcp
ipv6 dhcp client request vendor
ipv6 dhcp ping packets
ipv6 dhcp pool
ipv6 dhcp server
ipv6 mld snooping
ipv6 mld snooping last-listener-query-count
ipv6 mld snooping last-listener-query-interval
ipv6 mld snooping listener-message-suppression
ipv6 mld snooping robustness-variable
ipv6 mld snooping tcn
ipv6 mld snooping vlan
ipv6 traffic-filter
l2protocol-tunnel
l2protocol-tunnel cos
lacp port-priority
lacp system-priority
location (global configuration)
location (interface configuration)
link state group
link state track
logging event
logging file
mab request format attribute 32
mac access-group
mac access-list extended
mac address-table aging-time
mac address-table learning vlan
mac address-table move update
mac address-table notification
mac address-table static
mac address-table static drop
macro apply
macro description
macro global
macro global description
macro name
match（access-map configuration）
match (class-map configuration)
mdix auto
media-type
mls qos
mls qos aggregate-policer
mls qos cos
mls qos dscp-mutation
mls qos map
mls qos queue-set output buffers
mls qos queue-set output threshold
mls qos rewrite ip dscp
mls qos srr-queue input bandwidth
mls qos srr-queue input buffers
mls qos srr-queue input cos-map
mls qos srr-queue input dscp-map
mls qos srr-queue input priority-queue
mls qos srr-queue input threshold
mls qos srr-queue output cos-map
mls qos srr-queue output dscp-map
mls qos trust
mls qos vlan-based
monitor session
mvr (global configuration)
mvr (interface configuration)
network-policy
network-policy profile (global configuration)
network-policy profile (network-policy configuration)
nmsp
nmsp attachment suppress
pagp learn-method
pagp port-priority
permit (ARP access-list configuration)
permit (IPv6 access-list configuration)
permit (MAC access-list configuration)
police
police aggregate
policy-map
port-channel load-balance
power-supply dual
priority-queue
private-vlan
private-vlan mapping
profinet
ptp (global configuration)
ptp (interface configuration)
queue-set
radius-server dead-criteria
radius-server host
rcommand
remote-span
renew ip dhcp snooping database
rep admin vlan
rep block port
rep lsl-age-timer
rep preempt delay
rep preempt segment
rep segment
rep stcn
reserved-only

Cisco IE 3000 スイッチ Cisco IOS コマンド

aaa accounting dot1x

Authentication, Authorization, and Accounting（AAA; 認証、許可、アカウンティング）アカウンティングをイネーブルにして、回線単位またはインターフェイス単位で IEEE 802.1x セッションの特定のアカウンティング方式を定義する方式リストを作成するには、 aaa accounting dot1x グローバルコンフィギュレーションコマンドを使用します。IEEE 802.1x アカウンティングをディセーブルにするには、このコマンドの no 形式を使用します。

aaa accounting dot1x { name | default } start-stop { broadcast group { name | radius | tacacs+ } [ group { name | radius | tacacs+ } ... ] | group { name | radius | tacacs+ } [ group { name | radius | tacacs+ }...]}

no aaa accounting dot1x { name | default }

シンタックスの説明

name	サーバグループ名。これは、 broadcast group および group キーワードのあとに入力する場合のオプションです。
default	デフォルトリストにあるアカウンティング方式を、アカウンティングサービス用に使用します。
start-stop	プロセスの最初にアカウンティング開始通知を送信し、プロセスの終了時にアカウンティング終了通知を送信します。アカウンティング開始レコードは、バックグラウンドで送信されます。アカウンティング開始通知がアカウンティングサーバで受信されたかどうかにかかわらず、要求されたユーザプロセスが開始されます。
broadcast	複数の AAA サーバに送信されるアカウンティングレコードをイネーブルにして、アカウンティングレコードを各グループの最初のサーバに送信します。最初のサーバが使用できない場合、スイッチはバックアップサーバのリストを使用して最初のサーバを識別します。
group	アカウンティングサービスに使用するサーバグループを指定します。有効なサーバグループ名は次のとおりです。 • name ：サーバグループ名 • radius ：すべての RADIUS ホストのリスト • tacacs+ ：すべての TACACS+ ホストのリスト group キーワードは、 broadcast group および group キーワードのあとに入力する場合のオプションです。複数のオプション group キーワードを入力できます。
radius	（任意）RADIUS 認証をイネーブルにします。
tacacs+	（任意）TACACS+ アカウンティングをイネーブルにします。

デフォルト

AAA アカウンティングはディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、RADIUS サーバへのアクセスが必要です。

インターフェイスに IEEE 802.1x RADIUS アカウンティングを設定する前に、dot1x reauthentication インターフェイスコンフィギュレーションコマンドを入力することを推奨します。

例

次の例では、IEEE 802.1x アカウンティングを設定する方法を示します。

Switch(config)# aaa new-model

Switch(config)# aaa accounting dot1x default start-stop group radius

（注） RADIUS 認証サーバは、AAA クライアントからの更新またはウォッチドッグパケットを受け入れてロギングするように、適切に設定されている必要があります。

aaa authentication dot1x

IEEE 802.1x 認証に準拠するポートで使用する認証、認可、アカウンティング（AAA）方式を指定するには、 aaa authentication dot1x グローバルコンフィギュレーションコマンドを使用します。認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authentication dot1x { default } method1

no aaa authentication dot1x { default }

シンタックスの説明

default	この引数に続ける認証方式をログイン時のデフォルトの方式として使用します。
method1	認証用にすべての RADIUS サーバのリストを使用するには、 group radius キーワードを入力します。

（注）他のキーワードがコマンドラインのヘルプストリングに表示されますが、サポートされているのは default および group radius キーワードだけです。

デフォルト

認証は実行されません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

method 引数には、認証アルゴリズムがクライアントからのパスワードを確認するために一定の順序で試みる方式を指定します。実際に IEEE 802.1x に準拠している唯一の方式は、クライアントデータが RADIUS 認証サーバに対して確認される group radius 方式です。

group radius を指定した場合、 radius-server host グローバルコンフィギュレーションコマンドを使用して RADIUS サーバを設定する必要があります。

設定された認証方式のリストを表示するには、 show running-config 特権 EXEC コマンドを使用します。

例

次の例では、AAA をイネーブルにして IEEE 802.1x 準拠の認証リストを作成する方法を示します。この認証は、最初に RADIUS サーバとの交信を試行します。この動作でエラーが返信された場合、ユーザはネットワークへのアクセスが許可されません。

Switch(config)# aaa new-model

Switch(config)# aaa authentication dot1x default group radius

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

コマンド	説明
aaa new-model	AAA アクセス制御モデルをイネーブルにします。構文情報については、「Cisco IOS Security Command Reference, Release 12.2」>「Authentication, Authorization, and Accounting」>「Authentication Commands」を参照してください。
show running-config	現在の動作設定を表示します。構文情報については、「Cisco IOS Configuration Fundamentals Command Reference, Release 12.2」>「File Management Commands」>「Configuration File Management Commands」を選択してください。

aaa authorization network

IEEE 802.1x VLAN aaa ユーザの Access Control List（ACL; アクセスコントロールリスト）や VLAN 割り当てといったすべてのネットワーク関連サービス要求に対してユーザ RADIUS 認証を使用するようにスイッチを設定するには、 aaa authorization network グローバルコンフィギュレーションコマンドを使用します。RADIUS ユーザ認証をディセーブルにするには、このコマンドの no 形式を使用します。

aaa authorization network default group radius

no aaa authorization network default

シンタックスの説明

default group radius

デフォルトの認証リストとして、サーバグループ内のすべての RADIUS ホストのリストを使用します。

デフォルト

認証はディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

スイッチが、デフォルトの認証リスト内にある RADIUS サーバから IEEE 802.1x 認証パラメータをダウンロードできるようにするには、aaa authorization network default group radius グローバルコンフィギュレーションコマンドを使用します。認証パラメータは、ユーザごとの ACL または VLAN 割り当てなど、RADIUS サーバからパラメータを取得する機能で使用されます。

設定された認証方式リストを表示するには、 show running-config 特権 EXEC コマンドを使用します。

例

この例では、すべてのネットワーク関連サービス要求に対してユーザ RADIUS 認証を行うようスイッチを設定する方法を示します。

Switch(config)# aaa authorization network default group radius

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

コマンド	説明
show running-config	現在の動作設定を表示します。構文情報については、「Cisco IOS Configuration Fundamentals Command Reference, Release 12.2」>「File Management Commands」>「Configuration File Management Commands」を選択してください。

action

VLAN アクセスマップエントリのアクションを設定するには、 action アクセスマップコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

action {drop | forward }

no action

シンタックスの説明

drop	指定された条件に一致する場合に、パケットをドロップします。
forward	指定された条件に一致する場合に、パケットを転送します。

デフォルト

デフォルトのアクションは、パケットの転送です。

コマンドモード

アクセスマップコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

vlan access-map グローバルコンフィギュレーションコマンドを使用して、アクセスマップコンフィギュレーションモードを開始します。

アクションが drop の場合は、一致条件にアクセスコントロールリスト（ACL）名を設定後、そのマップを VLAN に適用してアクセスマップを定義する必要があります。定義しない場合、すべてのパケットがドロップされることがあります。

アクセスマップコンフィギュレーションモードでは、 match アクセスマップコンフィギュレーションコマンドを使用して、VLAN マップの一致条件を定義できます。 action コマンドを使用すると、パケットが条件に一致したときに実行するアクションを設定できます。

drop および forward の各パラメータは、このコマンドの no 形式では使用されません。

例

次の例では、VLAN アクセスマップ vmap4 を指定し VLAN 5 と VLAN 6 に適用する方法を示します。このアクセスマップは、パケットがアクセスリスト al2 に定義された条件に一致する場合に、VLAN がその IP パケットを転送するように指定します。

Switch(config)# vlan access-map vmap4

Switch(config-access-map)# match ip address al2

Switch(config-access-map)# action forward

Switch(config-access-map)# exit

Switch(config)# vlan filter vmap4 vlan-list 5-6

設定を確認するには、 show vlan access-map 特権 EXEC コマンドを入力します。

コマンド	説明
access-list { deny \| permit }	番号付き標準 ACL を設定します。構文情報については、「Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2」>「IP Services Commands」を選択してください。
ip access-list	名前付きアクセスリストを作成します。構文情報については、「Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2」>「IP Services Commands」を選択してください。
mac access-list extended	名前付き MAC アドレスアクセスリストを作成します。
match (class-map configuration)	VLAN マップの一致条件を定義します。
show vlan access-map	スイッチで作成された VLAN アクセスマップを表示します。
vlan access-map	VLAN アクセスマップを作成します。

alarm facility fcs-hysteresis

Frame Check Sequence（FCS; フレームチェックシーケンス）エラーヒステリシスしきい値を FCS ビットエラーレートから変動率として設定するには、alarm facility fcs-hysteresis グローバルコンフィギュレーションコマンドを使用します。FCS エラーヒステリシスしきい値をデフォルト値に戻すには、このコマンドの no 形式を使用します。

alarm facility fcs-hysteresis percentage

no alarm facility fcs-hysteresis percentage

シンタックスの説明

パーセンテージ

ヒステリシスしきい値の変動率です。指定できる範囲は 1 ～ 10% です。

デフォルト

デフォルトのしきい値は 10% です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

ヒステリシスしきい値を設定すると、設定されたレートの近くまで FCS ビットエラーレートが変動した場合にアラームがトリガーされます。

FCS ヒステリシスしきい値はスイッチすべてのポートで設定します。FCS エラーレートは fcs-threshold インターフェイスコンフィギュレーションコマンドを使用してポート単位で設定します。

しきい値がデフォルト値ではない場合、 show running-config 特権 EXEC コマンドの出力に表示されます。

例

次の例では、FCS エラーヒステリシスを 5% に設定する方法を示します。ビットエラーレートが設定した FCS ビットエラーレートを 5% 超過するとアラームがトリガーされます。

Switch(config)# alarm facility fcs-hysteresis 5

コマンド	説明
fcs-threshold	インターフェイスの FCS エラーレートを設定します。
show running-config	FCS ヒステリシスしきい値（デフォルト値以外の場合）を含むスイッチの実行コンフィギュレーションを表示します。

alarm facility power-supply

システムがデュアル電源モードで稼動している場合に、電源の欠落または障害を検出するアラームオプションを設定するには、alarm facility power-supply グローバルコンフィギュレーションコマンドを使用します。指定した設定をディセーブルにするには、このコマンドの no 形式を使用します。

alarm facility power-supply { disable | notifies | relay { major | minor } | syslog }

no alarm facility power-supply { disable | notifies | relay { major | minor } | syslog }

シンタックスの説明

disable	電源アラームをディセーブルにします。
notifies	電源アラームトラップが SNMP サーバに送信されます。
relay major	アラームがメジャーリレー回路に送信されます。
relay minor	アラームがマイナーリレー回路に送信されます。
syslog	電源アラームトラップが syslog サーバに送信されます。

デフォルト

電源アラームメッセージは保存されますが、SNMP サーバ、リレー、または syslog サーバに送信されません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

電源アラームは、システムがデュアル電源モードの場合にのみ生成されます。2 つ目の電源が接続された場合、 power-supply dual グローバルコンフィギュレーションコマンドを使用してデュアル電源モードの動作を設定します。

キーワード notifies を使用してアラームトラップを SNMP ホストに送信する前に、snmp-server enable traps グローバルコンフィギュレーションコマンドを使用して SNMP サーバを設定してください。

例

次の例では、電源モニタリングアラームをマイナーリレー回路に送信する設定方法を示します。

Switch(config)# alarm facility power-supply relay minor

コマンド	説明
ptp (global configuration)	スイッチの動作をデュアル電源モードに設定します。
show alarm settings	環境アラーム設定およびオプションが表示されます。
snmp-server enable traps	スイッチでさまざまなトラップタイプ SNMP 通知を Network Management System（NMS;ネットワーク管理システム）に送信します。

alarm facility temperature

プライマリ温度モニタリングアラームの設定または上限値が低いセカンダリ温度アラームしきい値を設定するには、alarm facility temperature グローバルコンフィギュレーションコマンドを使用します。温度モニタリングアラームの設定を削除またはセカンダリ温度アラームをディセーブルにするには、このコマンドの no 形式を使用します。

alarm facility temperature { primary { high | low | notifies | relay { major | minor } | syslog } | secondary { high | low | notifies | relay { major | minor }| syslog }}

no alarm facility temperature { primary { high | low | notifies | relay { major | minor } | syslog } | secondary { high | low | notifies | relay { major | minor }| syslog }}

シンタックスの説明

high	プライマリ温度アラームまたはセカンダリ温度アラームの高温しきい値を設定します。設定できる範囲は、-238 ～ 572°F（-150 ～ 300°C）です。
low	プライマリ温度アラームまたはセカンダリ温度アラームの低温しきい値を設定します。設定できる範囲は、-328 ～ 482°F（-200 ～ 250°C）です。
notifies	プライマリ温度アラームトラップまたはセカンダリ温度アラームトラップが SNMP サーバに送信されます。
relay major	プライマリ温度アラームまたはセカンダリ温度アラームがメジャーリレー回路に送信されます。
relay minor	プライマリ温度アラームまたはセカンダリ温度アラームがマイナーリレー回路に送信されます。
syslog	プライマリ温度アラームトラップまたはセカンダリ温度アラームトラップが syslog サーバに送信されます。

デフォルト

プライマリ温度アラームは -4 ～ 203oF（-20 ～ 95oC）の範囲でイネーブルになっており、ディセーブルにできません。アラームはメジャーリレーに関連付けられています。セカンダリ温度アラームはデフォルトでディセーブルになっています。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX1	このコマンドが追加されました。

使用上のガイドライン

プライマリ温度アラームは自動的にイネーブルになります。アラームはディセーブルにできませんが、アラームオプションを設定できます。

プライマリ温度アラームの範囲は、high および low キーワードを使用して設定できます。

セカンダリ温度アラームを使用してプライマリ温度の高温しきい値（203oF（95oC））より低い高温アラームをトリガーできます。温度しきい値とアラームオプションを設定できます。

notifies キーワードを使用してアラームトラップを SNMP ホストに送信する前に、snmp-server enable traps グローバルコンフィギュレーションコマンドを使用して SNMP サーバを設定してください。

例

次の例では、セカンダリ温度の高温しきい値に 113oF（45oC）とアラームを設定し、トラップをマイナーリレー回路、syslog、および SNMP サーバに送信する方法を示します。

Switch(config)# alarm facility temperature secondary high 45

Switch(config)# alarm facility temperature secondary relay minor

Switch(config)# alarm facility temperature secondary syslog

Switch(config)# alarm facility temperature secondary notifies

次の例では、セカンダリ温度アラームをディセーブルにする方法を示します。

Switch(config)# no alarm facility temperature secondary 45

次の例では、プライマリ温度アラームを設定し、syslog とメジャーリレー回路にアラームとトラップを送信する方法を示します。

Switch(config)# alarm facility temperature primary syslog

Switch(config)# alarm facility temperature primary relay major

コマンド	説明
show alarm settings	環境アラーム設定およびオプションが表示されます。
snmp-server enable traps	スイッチでさまざまなトラップタイプ SNMP 通知を Network Management System（NMS;ネットワーク管理システム）に送信します。

alarm profile (global configuration)

アラームプロファイルを作成し、アラームプロファイルコンフィギュレーションモードを開始するには、alarm profile グローバルコンフィギュレーションコマンドを使用します。アラームプロファイルを削除するには、このコマンドの no 形式を使用します。

alarm profile name

no alarm profile name

シンタックスの説明

name

アラームのプロファイル名です。

デフォルト

アラームプロファイルは作成されません。

プロファイルを作成しても、アラームは 1 つもイネーブルになりません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

アラームプロファイルコンフィギュレーションモードでは、次のコマンドが使用できます。

• alarm alarm-id ：特定のアラームがイネーブルになります。

• exit ：アラームプロファイルコンフィギュレーションモードを終了します。

• help ：インタラクティブヘルプシステムの説明が表示されます。

• no： コマンドを無効にするか、デフォルトに設定します。

• notifies alarm-id： アラームの通知がイネーブルになり、Simple Network Management Protocol（SNMP;簡易ネットワーク管理プロトコル）トラップが SNMP サーバに送信されます。

• relay-major alarm-id ：アラームがメジャーリレー回路に送信されます。

• relay-minor alarm-id： アラームがマイナーリレー回路に送信されます。

• syslog alarm-id： アラームが syslog ファイルに送信されます。

alarm-id には、アラーム ID を 1 つまたはスペースで区切って複数入力します。

インターフェイスにはすべて、デフォルトプロファイルが存在します。 show alarm profile ユーザ EXEC コマンドを入力して defaultPort の出力を確認してください。

表 2-1 では、アラーム ID と対応するアラームの説明を示します。

表 2-1 AlarmList ID 番号とアラームの説明
AlarmList ID	アラームの説明
1	リンク障害です。
2	ポートでフォワーディングされません。
3	ポートが動作していません。
4	FCS エラーレートがしきい値を超過しています。

アラームプロファイルを作成すると、 alarm-profile インターフェイスコンフィギュレーションコマンドを使用して、プロファイルをインターフェイスに関連付けられます。

デフォルトでは、 defaultPort プロファイルはすべてのインターフェイスに適用されます。このプロファイルによって、ポートが動作していない（3）アラームのみがイネーブルになります。このプロファイルは、 alarm profile defaultPort グローバルコンフィギュレーションコマンドを使用し、アラームプロファイルコンフィギュレーションモードを開始して変更できます。

例

次の例では、ポートのリンク障害（アラーム 1）とポートでフォワーディングされない（アラーム 2）アラームがイネーブルのアラームプロファイル fastE を作成する方法を示します。リンク障害アラームはマイナーリレー回路に関連付けられており、ポートでフォワーディングされないアラームはメジャーリレー回路に関連付けられてます。このアラームは SNMP サーバに送信され、システムログファイル（syslog）に書き込まれます。

Switch(config)# alarm profile fastE

Switch(config-alarm-prof)# alarm 1 2

Switch(config-alarm-prof)# relay major 2

Switch(config-alarm-prof)# relay minor 1

Switch(config-alarm-prof)# notifies 1 2

Switch(config-alarm-prof)# syslog 1 2

次の例では、my-profile という名前のアラームリレープロファイルを削除する方法を示します。

Switch(config)# no alarm profile my-profile

コマンド	説明
alarm profile (interface configuration)	インターフェイスにアラームプロファイルを関連付けます。
show alarm settings	アラームプロファイルすべてまたは指定したアラームプロファイルを表示し、それぞれのプロファイルが関連付けられているインターフェイスをリスト表示します。
snmp-server enable traps	スイッチでさまざまなトラップタイプ SNMP 通知を Network Management System（NMS;ネットワーク管理システム）に送信します。

alarm profile (interface configuration)

アラームプロファイルをポートに関連付けるには、alarm profile インターフェイスコンフィギュレーションコマンドを使用します。ポートからプロファイルの関連付けを解除するには、このコマンドの no 形式を使用します。

alarm profile name

no alarm profile

シンタックスの説明

name

アラームのプロファイル名です。

デフォルト

アラームプロファイル defaultPort がすべてのインターフェイスに適用されています。このプロファイルでは、ポートが動作していないアラームのみがイネーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

アラームプロファイルを作成して、アラームを 1 つ以上イネーブルにし、アラームオプションを指定するには、 alarm profile グローバルコンフィギュレーションコマンドを使用します。

インターフェイスに関連付けられるアラームプロファイルは 1 つのみです。

アラームプロファイルをインターフェイスに関連付けると、すでに関連付けられていたアラームプロファイルは上書きされます（ defaultPort プロファイルを含む）。

例

次の例では、ポートにアラームプロファイル fastE を関連付ける方法を示します。

Switch(config)# interface fastethernet1/2

Switch(config-if)# alarm profile fastE

次の例では、ポートからアラームプロファイルの関連付けを解除して、 defaultPort プロファイルに戻す方法を示します。

Switch(config)# interface fastethernet1/2

Switch(config-if)# no alarm profile

コマンド	説明
alarm profile (global configuration)	アラームプロファイルを作成および指定して、アラームプロファイルコンフィギュレーションモードが開始されます。
show alarm settings	アラームプロファイルすべてまたは指定したアラームプロファイルを表示し、それぞれのプロファイルが関連付けられているインターフェイスをリスト表示します。

alarm relay-mode

スイッチのアラームリレーモードをポジティブまたはネガティブに設定するには、 alarm relay-mode グローバルコンフィギュレーションコマンドを使用します。アラームリレーモードをデフォルトに戻すには、このコマンドの no 形式を使用します。

alarm relay-mode { negative }

no alarm relay-mode { negative }

シンタックスの説明

negative

アラームリレーモードをネガティブに設定します。

デフォルト

デフォルトでは、アラームリレーがオープンされると、ポジティブモードに設定されます。スイッチの電源がオフの場合、アラームリレーはすべてオープンです。アラームイベントが 1 つ以上検出されると、アラームリレーはクローズされます。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

アラームリレーの動作を元に戻すには、このコマンドを使用します。アラームリレーモードがネガティブに設定されている場合、アラームリレーは通常クローズされています。アラームイベントが 1 つ以上検出されると、該当するアラームリレーがオープンされます。

例

次の例では、アラームリレーをネガティブモードに設定する方法を示します。

Switch(config)# alarm relay-mode negative

コマンド	説明
alarm profile (global configuration)	アラームプロファイルを作成および指定して、アラームプロファイルコンフィギュレーションモードが開始されます。
show alarm profile	アラームプロファイルすべてまたは指定したアラームプロファイルを表示し、それぞれのプロファイルが関連付けられているインターフェイスをリスト表示します。
show alarm settings	環境アラーム設定およびオプションが表示されます。

archive download-sw

新しいイメージを TFTP サーバからスイッチにダウンロードし、既存のイメージを上書きまたは保持するには、 archive download-sw 特権 EXEC コマンドを使用します。

archive download-sw { /directory | /force-reload | /imageonly | /leave-old-sw | /no-set-boot | no-version-check | /overwrite | /reload | /safe } source-url

シンタックスの説明

/directory	イメージのディレクトリを指定します。
/force-reload	ソフトウェアイメージのダウンロードが成功したあと、無条件にシステムのリロードを強制します。
/imageonly	ソフトウェアイメージだけをダウンロードし、組み込みデバイスマネージャに関連する HTML ファイルはダウンロードしません。既存のバージョンの HTML ファイルは、既存のバージョンが上書きまたは削除されている場合にだけ削除されます。
/leave-old-sw	ダウンロードが成功したあと、古いソフトウェアバージョンを保存します。
/no-set-boot	新しいソフトウェアイメージのダウンロードが成功したあと、BOOT 環境変数の設定は新しいソフトウェアイメージをポイントするように変更されません。
/no-version-check	スイッチで稼動中のイメージとの互換性を持つバージョンであるかどうかを確認せずに、ソフトウェアイメージをダウンロードします。
/overwrite	ダウンロードされたソフトウェアイメージで、フラッシュメモリのソフトウェアイメージを上書きします。
/reload	変更された設定が保存されていない場合を除き、イメージのダウンロードに成功したあとでシステムをリロードします。
/safe	現在のソフトウェアイメージを維持します。新しいイメージをダウンロードする前に、新しいソフトウェアイメージ用の領域を作るため、現在のソフトウェアイメージを削除しないでください。ダウンロード終了後に現在のイメージが削除されます。
source-url	ローカルまたはネットワークファイルシステム用の送信元 URL エイリアス。次のオプションがサポートされています。 • セカンダリブートローダ（BS1）の構文 bs1: • ローカルフラッシュファイルシステムの構文 flash: • FTP の構文 ftp: [[ // username [ : password ] @ location ]/ directory ] / image-name .tar • HTTP サーバの構文 http:// [[ username : password ]@]{ hostname \| host-ip }[/ directory ] / image-name .tar • セキュア HTTP サーバの構文 https:// [[ username : password ]@]{ hostname \| host-ip }[/ directory ] / image-name .tar • Remote Copy Protocol（RCP; リモートコピープロトコル）の構文 rcp: [[ // username @ location ]/ directory ] / image-name .tar • TFTP の構文 tftp: [[ // location ]/ directory ] / image-name .tar image-name .tar は、スイッチにダウンロードし、インストールするソフトウェアイメージです。

デフォルト

現在のソフトウェアイメージは、ダウンロードされたイメージでは上書きされません。

ソフトウェアイメージと HTML ファイルの両方がダウンロードされます。

新しいイメージは flash: ファイルシステムにダウンロードされます。

BOOT 環境変数は、flash: ファイルシステムの新しいソフトウェアイメージを指定するよう変更されます。

イメージ名では大文字と小文字が区別されます。イメージファイルは tar 形式で提供されます。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

ディレクトリを一時的に指定するには、 archive download-sw /directory コマンドを使用します。

/imageonly オプションは、既存のイメージが削除または置き換えられている場合に、既存のイメージの HTML ファイルを削除します。（HTML ファイルのない）Cisco IOS イメージだけがダウンロードされます。

/safe または /leave-old-sw オプションを使用した場合に、十分なフラッシュメモリがないと、新しいイメージのダウンロードに失敗する場合があります。ソフトウェアを残すことによってフラッシュメモリの空き容量が不足し、新しいイメージが入りきらなかった場合に、エラーが発生します。

/leave-old-sw オプションを使用したために、新しいイメージをダウンロードしても古いイメージを上書きしなかった場合、 delete 特権 EXEC コマンドを使用して古いイメージを削除することができます。詳細については、「delete」を参照してください。

フラッシュデバイスのイメージを、ダウンロードされたイメージで上書きするには、 /overwrite オプションを使用します。

/overwrite オプションなしでこのコマンドを指定する場合、ダウンロードアルゴリズムは、新しいイメージが、スイッチフラッシュデバイスのイメージと同じではないことを確認します。イメージが同じである場合は、ダウンロードは行われません。イメージが異なっている場合、古いイメージは削除され、新しいイメージがダウンロードされます。

新しいイメージをダウンロードしたあとで、 reload 特権 EXEC コマンドを入力して新しいイメージの使用を開始するか、 archive download-sw コマンドの /reload または /force-reload オプションを指定してください。

/directory オプションを使用すると、イメージのディレクトリを指定できます。

例

次の例では、172.20.129.10 の TFTP サーバから新しいイメージをダウンロードし、スイッチのイメージを上書きする方法を示します。

Switch# archive download-sw /overwrite tftp://172.20.129.10/test-image.tar

次の例では、172.20.129.10 の TFTP サーバからソフトウェアイメージだけをスイッチにダウンロードする方法を示します。

Switch# archive download-sw /imageonly tftp://172.20.129.10/test-image.tar

次の例では、ダウンロードに成功したあとで古いソフトウェアバージョンを保存する方法を示します。

Switch# archive download-sw /leave-old-sw tftp://172.20.129.10/test-image.tar

コマンド	説明
archive tar	tar ファイルの作成、tar ファイル内のファイルの一覧表示、tar ファイルからのファイル抽出を行います。
archive upload-sw	スイッチの既存のイメージをサーバにアップロードします。
delete	フラッシュメモリデバイスのファイルまたはディレクトリを削除します。

archive tar

tar ファイルの作成、tar ファイル内のファイル一覧表示、tar ファイルからのファイル抽出を実行するには、 archive tar 特権 EXEC コマンドを使用します。

archive tar { /create destination-url flash:/ file-url } | { /table source-url } | { /xtract source-url flash:/ file-ur l [ dir/file ...]}

シンタックスの説明

/create destination-url flash:/ file-url

ローカルまたはネットワークファイルシステムに新しい tar ファイルを作成します。

destination-url には、ローカルまたはネットワークファイルシステムの宛先 URL エイリアスおよび作成する tar ファイルの名前を指定します。次のオプションがサポートされています。

• ローカルフラッシュファイルシステムの構文
flash:

• FTP の構文 ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar

• HTTP サーバの構文
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

• セキュア HTTP サーバの構文
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

• RCP の構文 rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

• TFTP の構文 tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、作成する tar ファイルです。

flash:/ file-url には、新しい tar ファイルが作成されるローカルフラッシュファイルシステムの場所を指定します。

送信元ディレクトリ内のファイルまたはディレクトリのオプションのリストを指定して、新しい tar ファイルに書き込むことができます。何も指定しないと、このレベルのすべてのファイルおよびディレクトリが、新しく作成された tar ファイルに書き込まれます。

/table source-url

既存の tar ファイルの内容を画面に表示します。

source-url には、ローカルまたはネットワークファイルシステムの送信元 URL エイリアスを指定します。次のオプションがサポートされています。

• ローカルフラッシュファイルシステムの構文
flash:

• FTP の構文
ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar

• HTTP サーバの構文
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

• セキュア HTTP サーバの構文
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

• RCP の構文 rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

• TFTP の構文 tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、表示する tar ファイルです。

/xtract source-url flash:/ file-url [ dir/file... ]

tar ファイルからローカルファイルシステムにファイルを抽出します。

source-url には、ローカルファイルシステムの 送信元 URL エイリアスを指定します。次のオプションがサポートされています。

• ローカルフラッシュファイルシステムの構文
flash:

• FTP の構文 ftp: [[ // username [ : password ] @ location ]/ directory ] / tar-filename .tar

• HTTP サーバの構文
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

• セキュア HTTP サーバの構文
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

• RCP の構文 rcp: [[ // username @ location ]/ directory ] / tar-filename .tar

• TFTP の構文 tftp: [[ // location ]/ directory ] / tar-filename .tar

tar-filename .tar は、抽出が行われる tar ファイルです。

flash:/ file-url [ dir/file ...] には、tar ファイルが抽出されるローカルフラッシュファイルシステムの場所を指定します。tar ファイルから抽出されるファイルまたはディレクトリのオプションリストを指定するには、 dir/file ... オプションを使用します。何も指定されないと、すべてのファイルとディレクトリが抽出されます。

デフォルト

デフォルト設定はありません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

イメージ名では、大文字と小文字が区別されます。

例

次の例では、tar ファイルを作成する方法を示します。このコマンドはローカルフラッシュデバイスの new-configs ディレクトリの内容を、172.20.10.30 の TFTP サーバの saved.tar という名前のファイルに書き込みます。

Switch# archive tar /create tftp:172.20.10.30/saved.tar flash:/new_configs

次の例では、フラッシュメモリ内にあるファイルの内容を表示する方法を示します。tar ファイルの内容が画面に表示されます。

Switch# archive tar /table flash:cies-lanbase-tar.12-44.EX.tar

info (219 bytes)

cies-lanbase-mz.12-44.EX/ (directory)

-ipservices-mz.12-25.SEBcies-lanbase-mz.12-44.EX (610856 bytes)

-ipservices-mz.12-25.SEBcies-lanbase-mz.12-44.EX/info (219 bytes)

info.ver (219 bytes)

次の例では、 /html ディレクトリとその内容のみを表示する方法を示します。

flash:cies-lanbase-tar.12-44.EX.tar cies-lanbase-12-44.EX/html

cies-lanbase-mz.12-44.EX/html/ (directory)

cies-lanbase-mz.12-44.EX/html/const.htm (556 bytes)

cies-lanbase-mz.12-44.EX/html/xhome.htm (9373 bytes)

cies-lanbase-mz.12-44.EX/html/menu.css (1654 bytes)

次の例では、172.20.10.30 の TFTP サーバ上にある tar ファイルの内容を抽出する方法を示します。このコマンドは、 new-configs ディレクトリだけを、ローカルフラッシュファイルシステムのルート（root）ディレクトリに抽出します。 saved.tar ファイルの残りのファイルは無視されます。

Switch# archive tar /xtract tftp://172.20.10.30/saved.tar flash:/new-configs

コマンド	説明
archive download-sw	TFTP サーバからスイッチに新しいイメージをダウンロードします。
archive upload-sw	スイッチの既存のイメージをサーバにアップロードします。

archive upload-sw

スイッチの既存のイメージをサーバにアップロードするには、 archive upload-sw 特権 EXEC コマンドを使用します。

archive upload-sw [ /version version_string ] destination-url

シンタックスの説明

/version version_string

（任意）アップロードするイメージの特定バージョン文字列を指定します。

destination-url

ローカルまたはネットワークファイルシステムの宛先 URL エイリアスです。次のオプションがサポートされています。

• ローカルフラッシュファイルシステムの構文
flash:

• FTP の構文 ftp: [[ // username [ : password ] @ location ]/ directory ] / image-name .tar

• HTTP サーバの構文
http:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

• セキュア HTTP サーバの構文
https:// [[ username : password ]@]{ hostname | host-ip }[/ directory ] / image-name .tar

• Secure Copy Protocol（SCP）の構文
scp: [[ // username @ location ]/ directory ] / image-name .tar

• Remote Copy Protocol（RCP; リモートコピープロトコル）の構文 rcp: [[ // username @ location ]/ directory ] / image-name .tar

• TFTP の構文
tftp: [[ // location ]/ directory ] / image-name .tar

image-name .tar は、サーバに保存するソフトウェアイメージの名前です。

デフォルト

flash: ファイルシステムから現在稼動中のイメージをアップロードします。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

組み込みデバイスマネージャに関連付けられている HTML ファイルが既存のイメージとともにインストールされている場合にだけ、アップロード機能を使用します。

ファイルは、Cisco IOS イメージ、HTML ファイル、info の順にアップロードされます。これらのファイルがアップロードされると、ソフトウェアは tar ファイルを作成します。

イメージ名では、大文字と小文字が区別されます。

例

次の例では、現在実行中のイメージを、172.20.140.2 の TFTP サーバへアップロードする方法を示します。

Switch# archive upload-sw tftp://172.20.140.2/test-image.tar

コマンド	説明
archive download-sw	新しいイメージをスイッチにダウンロードします。
archive tar	tar ファイルの作成、tar ファイル内のファイルの一覧表示、tar ファイルからのファイル抽出を行います。

arp access-list

Address Resolution Protocol（ARP; アドレス解決プロトコル）アクセスコントロールリスト（ACL）を定義する場合、または以前に定義したリストの末尾にコマンドを追加する場合は、arp access-list グローバルコンフィギュレーションコマンドを使用します。指定された ARP アクセスリストを削除するには、このコマンドの no 形式を使用します。

arp access-list acl-name

no arp access-list acl-name

シンタックスの説明

acl-name

ACL の名前です。

デフォルト

ARP アクセスリストが定義されていません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

arp access-list コマンドを入力すると、ARP アクセスリストコンフィギュレーションモードに入り、次のコンフィギュレーションコマンドが使用可能になります。

• default ：コマンドをデフォルト設定に戻します。

• deny ：拒否するパケットを指定します。詳細については、「deny (ARP access-list configuration)」を参照してください。

• exit ：ARP アクセスリストコンフィギュレーションモードを終了します。

• no ：コマンドを無効にするか、またはデフォルト設定に戻します。

• permit ：転送するパケットを指定します。詳細については、「permit (ARP access-list configuration)」を参照してください。

指定された一致条件に基づいて ARP パケットを転送またはドロップするには、 permit または deny アクセスリストコンフィギュレーションコマンドを使用します。

ARP ACL が定義されると、 ip arp inspection filter vlan グローバルコンフィギュレーションコマンドを使用して VLAN に ARP ACL を適用できます。IP/MAC アドレスバインディングだけを含む ARP パケットが ACL と比較されます。それ以外のタイプのパケットはすべて検証なしで入力 VLAN でブリッジングされます。パケットが ACL で許可されると、スイッチはそのパケットを転送します。明示的拒否ステートメントによって ACL がパケットを拒否すると、スイッチがパケットをドロップします。暗黙拒否ステートメントによって ACL がパケットを拒否すると、スイッチはパケットを DHCP バインディングのリストと比較します。ただし、ACL が スタティック （パケットがバインディングと比較されない）である場合を除きます。

例

次の例では、ARP アクセスリストを定義し、IP アドレスが 1.1.1.1 で MAC アドレスが 0000.0000.abcd のホストからの ARP 要求と ARP 応答の両方を許可する方法を示します。

Switch(config)# arp access-list static-hosts

Switch(config-arp-nacl)# permit ip host 1.1.1.1 mac host 00001.0000.abcd

Switch(config-arp-nacl)# end

設定を確認するには、 show arp access-list 特権 EXEC コマンドを入力します。

コマンド	説明
deny (ARP access-list configuration)	DHCP バインディングとの比較による一致に基づいて ARP パケットを拒否します。
ip arp inspection filter vlan	スタティック IP アドレスで設定されたホストからの ARP 要求および応答を許可します。
permit (ARP access-list configuration)	DHCP バインディングとの比較による一致に基づいて ARP パケットを許可します。
show arp access-list	ARP アクセスリストに関する詳細を表示します。

authentication command bounce-port ignore

スイッチでコマンドを無視して一時的にポートをディセーブルするには、スイッチスタックまたはスタンドアロンスイッチで、 authentication command bounce-port ignore グローバルコンフィギュレーションコマンドを使用します。デフォルトのステータスに戻すには、このコマンドの no 形式を使用します。

authentication command bounce-port ignore

no authentication command bounce-port ignore

（注）このコマンドを使用するには、スイッチが LAN Base イメージまたは IP Base イメージを実行している必要があります。

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

スイッチは、RADIUS Change of Authorization（CoA） bounce port コマンドを受け入れます。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

CoA bounce port コマンドによってリンクフラップが発生し、DHCP の再ネゴシエーションがホストからトリガーされます。これは、VLAN で変更が発生し、エンドポインが変更を検出するサプリカントを備えないプリンタなどのデバイスの場合に便利です。 bounce port コマンドを無視するようにスイッチを設定するには、このコマンドを使用します。

例

次の例では、スイッチで CoA bounce port コマンドを無視する方法を示します。

Switch(config)# authentication command bounce-port ignore

authentication command disable-port ignore

スイッチでコマンドを無視してポートをディセーブルするには、スイッチスタックまたはスタンドアロンスイッチで、 authentication command disable-port ignore グローバルコンフィギュレーションコマンドを使用します。デフォルトのステータスに戻すには、このコマンドの no 形式を使用します。

authentication command disable-port ignore

no authentication command disable-port ignore

（注）このコマンドを使用するには、スイッチが LAN Base イメージまたは IP Base イメージを実行している必要があります。

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

スイッチは、RADIUS Change of Authorization（CoA） disable port コマンドを受け入れます。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

CoA disable port コマンドによって、セッションをホストするポートを管理的にシャットダウンして、セッションを終了します。このコマンドを無視するようにスイッチを設定するには、このコマンドを使用します。

例

次の例では、スイッチで CoA disable port コマンドを無視する方法を示します。

Switch(config)# authentication command disable-port ignore

authentication control-direction

ポートモードを単一方向または双方向として設定するには、authentication control-direction インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

authentication control-direction {both | in}

no authentication control-direction

シンタックスの説明

both	ポートの双方向制御をイネーブルにします。ポートは、ホストにパケットを送受信できません。
in	ポートの単一方向制御をイネーブルにします。ポートは、ホストにパケットを送信できますが、受信はできません。

デフォルト

ポートは双方向モードに設定されています。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

デフォルト設定（双方向モード）に戻すには、このコマンドの both キーワードまたは no 形式を使用します。

例

次の例では、双方向モードをイネーブルにする方法を示します。

Switch(config-if)# authentication control-direction both

次の例では、単一方向モードをイネーブルにする方法を示します。

Switch(config-if)# authentication control-direction in

設定を確認するには、 show authentication 特権 EXEC コマンドを入力します。

コマンド	説明
authentication event	特定の認証イベントに対するアクションを設定します。
authentication fallback	IEEE 802.1x 認証をサポートしないクライアント用のフォールバックメカニズムとして Web 認証を使用するようポートを設定します。
authentication host-mode	ポート上で認証マネージャモードを設定します。
authentication open	ポート上でオープンアクセスをイネーブルまたはディセーブルにします。
authentication order	ポート上で使用される認証方式の順序を設定します。
authentication periodic	ポート上で再認証をイネーブルまたはディセーブルにします。
authentication port-control	ポートの許可ステートの手動制御をイネーブルにします。
authentication priority	認証方式をポートプライオリティリストに追加します。
authentication timer	802.1x 対応ポートのタイムアウトと再認証のパラメータを設定します。
authentication violation	新しいデバイスがポートに接続された場合、またはすでに最大数のデバイスが接続されているポートに新しいデバイスが接続された場合に発生する違反モードを設定します。
show authentication	スイッチ上の認証マネージャイベントに関する情報を表示します。

authentication event

ポート上の特定の認証イベントに対するアクションを設定するには、 authentication event インターフェイスコンフィギュレーションコマンドを使用します。

authentication event {fail [action [authorize vlan vlan-id | next-method] {| retry {retry count}]} { no-response action authorize vlan vlan-id} {server {alive action reinitialize} | {dead action [authorize | reinitialize vlan vlan-id]}}

no authentication event {fail [action [authorize vlan vlan-id | next-method] {| retry {retry count}]} {no-response action authorize vlan vlan-id} {server {alive action reinitialize} | {dead action [authorize | reinitialize vlan vlan-id]}}

シンタックスの説明

action	認証イベントに必要なアクションを設定します。
alive	活動状態の認証、認可、アカウンティング（AAA）サーバに対するアクションを設定します。
authorize	ポートを許可します。
dead	停止状態の AAA サーバに対するアクションを設定します。
fail	認証失敗パラメータを設定します。
next-method	次の認証方式に移行します。
no-response	応答のないホストに対するアクションを設定します。
reinitialize	許可されたすべてのクライアントを再初期化します。
retry	認証失敗後の再試行をイネーブルにします。
retry count	再試行回数（0 ～ 5 回）を設定します。
server	AAA サーバイベントに対するアクションを設定します。
vlan	1 ～ 4094 の範囲で認証失敗 VLAN を指定します。
vlan-id	VLAN の ID 番号を指定します（1 ～ 4094）。

デフォルト

ポート上でイベント応答が設定されていません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。
12.2(52)SE	reinitialize キーワードが追加されました。

使用上のガイドライン

特定のアクションに対するスイッチの応答を設定するには、このコマンドに fail、no-response、または event キーワードを指定します。

server-dead イベントの場合：

• スイッチが critical-authentication ステートに移行すると、認証を実施しようとしている新しいホストがクリティカル認証 VLAN（またはクリティカルな VLAN）に移行します。これは、ポートがシングルホストモード、マルチホストモード、マルチ認証モード、MDA モードのいずれの場合も適用されます。認証されたホストは認証された VLAN に残り、再認証タイマーはディセーブルになります。

• クライアントで Windows XP が稼動し、クライアントの接続先のクリティカルポートが critical-authentication ステートである場合、Windows XP はインターフェイスが認証されていないことをレポートします。

Windows XP クライアントが DHCP に設定されており、DHCP サーバから IP アドレスが割り当てられていると、クリティカルポートが EAP 認証成功メッセージを受信しても、DHCP 設定プロセスで再初期化が実行されない場合があります。

no-response イベントの場合：

• IEEE 802.1x ポート上でゲスト VLAN をイネーブルにした場合、認証サーバが Extensible Authentication Protocol over LAN（EAPOL）Request/Identity フレームに対する応答を受信しないか、または EAPOL パケットがクライアントから送信されないと、スイッチはクライアントをゲスト VLAN に割り当てます。

• スイッチは、EAPOL パケット履歴を保持します。リンクの有効期間中に別の EAPOL パケットがポート上で検出されると、ゲスト VLAN 機能がディセーブルになります。ポートがすでにゲスト VLAN ステートにある場合、ポートは無許可ステートに戻り、認証が再開されます。EAPOL 履歴は消去されます。

• スイッチポートがゲスト VLAN（マルチホストモード）に移行すると、複数の IEEE 802.1x 非対応クライアントがアクセスを許可されます。ゲスト VLAN が設定されているポートに IEEE 802.1x 対応クライアントが加入すると、そのポートが RADIUS 設定 VLAN またはユーザ設定アクセス VLAN で無許可ステートに移行し、認証が再開されます。

Remote Switched Port Analyzer（RSPAN; リモートスイッチドポートアナライザ）VLAN、プライマリプライベート VLAN、音声 VLAN 以外のアクティブな VLAN をすべて、IEEE 802.1x のゲスト VLAN として設定できます。ゲスト VLAN の機能は、アクセスポートでのみサポートされています。内部 VLAN（ルーテッドポート）とトランクポートではサポートされていません。

• MAC 認証バイパスが IEEE 802.1x ポートでイネーブルになっている場合、EAPOL メッセージ交換の待機中に IEEE802.1x 認証が期限切れになると、スイッチはクライアントの MAC アドレスに基づいてクライアントを許可できます。スイッチは、IEEE 802.1x ポート上のクライアントを検出したあとで、クライアントからのイーサネットパケットを待機します。スイッチは、MAC アドレスに基づいたユーザ名およびパスワードを持つ RADIUS-access/request フレームを認証サーバに送信します。

– 認証に成功すると、スイッチはクライアントにネットワークへのアクセスを許可します。

– 認証に失敗すると、スイッチはポートにゲスト VLAN を割り当てます（指定されていない場合）。

詳細については、ソフトウェアコンフィギュレーションガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の「Using IEEE 802.1x Authentication with MAC Authentication Bypass」を参照してください。

authentication-fail イベントの場合：

• サプリカントが認証に失敗すると、ポートが制限 VLAN に移行し、EAP 認証成功メッセージがサプリカントに送信されます。これは、サプリカントに実際の認証失敗が通知されないためです。

– EAP の成功メッセージが送信されない場合、サプリカントは 60 秒ごと（デフォルト）に EAP 開始メッセージを送信して認証を行おうとします。

– 一部のホスト（たとえば、Windows XP を実行中のデバイス）は、EAP の成功メッセージを受け取るまで Dynamic Host Configuration Protocol（DHCP）を実行できません。

制限 VLAN は、シングルホストモード（デフォルトのポートモード）でのみサポートされます。ポートが制限 VLAN に配置されると、サプリカントの MAC アドレスが MAC アドレステーブルに追加されます。ポート上のその他の MAC アドレスはセキュリティ違反として扱われます。

• レイヤ 3 ポートの内部 VLAN は制限 VLAN として設定できません。1 つの VLAN を制限 VLAN と音声 VLAN の両方として指定することはできません。

制限 VLAN での再認証をイネーブルにします。再認証がディセーブルになっていると、制限 VLAN 内のポートは認証要求を受信しません。

再認証プロセスを開始するには、制限 VLAN がポートからリンクダウンイベントまたは Extensible Authentication Protocol（EAP）ログオフイベントを受け取る必要があります。ホストがハブを介して接続されている場合は、次の動作が発生する可能性があります。

– ホストが切断されているとポートがリンクダウンイベントを受け取らない

– 次の再認証が実行されるまでポートが新しいホストを検出しない

制限 VLAN をタイプの異なる VLAN として再設定すると、制限 VLAN のポートは現在許可されたステートのまま移行します。

例

次の例では、authentication event fail コマンドを設定する方法を示します。

Switch(config-if)# authentication event fail action authorize vlan 20

次の例では、no-response アクションを設定する方法を示します。

Switch(config-if)# authentication event no-response action authorize vlan 10

次の例では、server-response アクションを設定する方法を示します。

Switch(config-if)# authentication event server alive action reinitialize

次の例では、RADIUS サーバが使用できないときに新規ホストおよび既存ホストをクリティカルな VLAN に送るようにポートを設定する方法を示します。マルチ認証（multiauth）モードまたはポートの音声ドメインが MDA モードの場合に、このコマンドを使用します。

Switch(config-if)# authentication event server dead action authorize vlan 10

次の例では、RADIUS サーバが使用できないときに新規ホストおよび既存ホストをクリティカルな VLAN に送るようポートを設定する方法を示します。マルチホストモードまたはマルチ認証（multiauth）モードのポートに、このコマンドを使用します。

Switch(config-if)# authentication event server dead action reinitialize vlan 10

設定を確認するには、 show authentication 特権 EXEC コマンドを入力します。

authentication fallback

IEEE 802.1x 認証をサポートしないクライアントに対し、Web 認証をフォールバック方式として使用するようにポートを設定するには、authentication fallback インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

authentication fallback name

no authentication fallback name

シンタックスの説明

name	Web 認証のフォールバックプロファイルを指定します。

デフォルト

フォールバックはイネーブルではありません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

フォールバック方式を設定する前に、authentication port-control auto インターフェイスコンフィギュレーションコマンドを入力する必要があります。

Web 認証は、802.1x または MAB フォールバック方式としてのみ設定できます。したがって、これらの認証方式の一方または両方を、イネーブルにするフォールバック方式として設定する必要があります。

例

次の例では、ポート上でフォールバックプロファイルを指定する方法を示します。

Switch(config-if)# authentication fallback profile1

設定を確認するには、 show authentication 特権 EXEC コマンドを入力します。

authentication host-mode

ポート上で認証マネージャモードを設定するには、authentication host-mode インターフェイスコンフィギュレーションコマンドを使用します。

authentication host-mode [multi-auth | multi-domain | multi-host | single-host]

no authentication host-mode [multi-auth | multi-domain | multi-host | single-host]

シンタックスの説明

multi-auth	ポート上でマルチ認証モード（multiauth モード）をイネーブルにします。
multi-domain	ポート上でマルチドメインモードをイネーブルにします。
multi-host	ポート上でマルチホストモードをイネーブルにします。
single-host	ポート上でシングルホストモードをイネーブルにします。

デフォルト

シングルホストモードがイネーブルになっています。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

1 つのデータホストしか接続されていない場合は、シングルホストモードに設定する必要があります。単一ホストポート上での認証用に音声デバイスを接続しないでください。ポート上に音声 VLAN が設定されていないと、音声デバイスの許可が正常に実行されません。

データホストが IP Phone を経由してポートに接続されている場合は、マルチドメインモードに設定する必要があります。音声デバイスを認証する必要がある場合は、マルチドメインモードに設定する必要があります。

ハブの背後に最大 8 台のデバイスを配置し、それぞれを認証してポートアクセスのセキュリティを確保できるようにするには、マルチ認証モードに設定する必要があります。音声 VLAN が設定されている場合は、このモードで認証できる音声デバイスは 1 台だけです。

マルチホストモードでは、ハブの背後にある複数のホストへのポートアクセスに対応していますが、最初のユーザの認証後にこれらのデバイスへのポートアクセスが無制限になります。

例

次の例では、ポートのマルチ認証モードをイネーブルにする方法を示します。

Switch(config-if)# authentication host-mode multi-auth

次の例では、ポートのマルチドメインモードをイネーブルにする方法を示します。

Switch(config-if)# authentication host-mode multi-domain

次の例では、ポートのマルチホストモードをイネーブルにする方法を示します。

Switch(config)# authentication host-mode multi-host

次の例では、ポートのシングルホストモードをイネーブルにする方法を示します。

Switch(config-if)# authentication host-mode single-host

設定を確認するには、 show authentication 特権 EXEC コマンドを入力します。

authentication mac-move permit

スイッチで MAC 移動をイネーブルにするには、authentication mac-move permit グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

authentication mac-move permit

no authentication mac-move permit

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

MAC 移動はイネーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用すると、スイッチの 802.1x 対応ポート間で認証ホストを移動できます。たとえば、認証ホストとポートの間にデバイスが設置されており、ホストが他のポートに移動すると、最初のポートから認証セッションが削除され、ホストは新しいポートで再認証されます。

MAC 移動がディセーブルで、認証されたホストが他のポートに移動すると、再認証は実行されず、違反エラーが発生します。

MAC 移動はポートセキュリティがイネーブルにされた 802.1x ポートではサポートされません。MAC 移動がスイッチでグローバルに設定されており、ポートセキュリティがイネーブルにされたホストが 802.1x 対応のポートに移動すると、違反エラーが発生します。

例

次の例では、スイッチで MAC 移動をイネーブルにする方法を示します。

Switch(config)# authentication mac-move permit

authentication open

ポート上でオープンアクセスをイネーブルまたはディセーブルにするには、authentication open インターフェイスコンフィギュレーションコマンドを使用します。オープンアクセスをディセーブルにするには、このコマンドの no 形式を使用します。

authentication open

no authentication open

デフォルト

オープンアクセスがディセーブルになっています。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

認証の前にデバイスでネットワークアクセスが必要となる場合は、オープン認証をイネーブルにする必要があります。

ポート ACL を使用して、オープン認証がイネーブルになっている場合にホストアクセスを制限する必要があります。

例

次の例では、ポートのオープンアクセスをイネーブルにする方法を示します。

Switch(config-if)# authentication open

次の例では、オープンアクセスをディセーブルにするようにポートを設定する方法を示します。

Switch(config-if)# no authentication open

authentication order

ポートで使用する認証方式の順序を設定するには、authentication order インターフェイスコンフィギュレーションコマンドを使用します。

authentication order [dot1x | mab] {webauth}

no authentication order

シンタックスの説明

dot1x	認証方式の並び順に 802.1x を追加します。
mab	認証方式の並び順に MAC authentication bypass（MAB; MAC 認証バイパス）を追加します。
webauth	認証方式の並び順に Web 認証を追加します。

コマンドのデフォルト

デフォルトの認証順序は、dot1x、mab、webauth となっています。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

順序付けによって、スイッチのポートに新しいデバイスを接続した場合に試行される認証方式の順序が決まります。リスト内の 1 つの認証方式の試行に失敗すると、次の方式が試行されます。

それぞれの認証方式は一度しか入力できません。802.1x と MAB の間でのみ柔軟な順序付けが可能です。

Web 認証は、スタンドアロン方式か、または 802.1x や MAB よりも後の最後の方式として設定できます。Web 認証は、dot1x または mab のフォールバックとしてのみ設定する必要があります。

例

次の例では、802.1x を最初の認証方式として、MAB を 2 番目の認証方式として、Web 認証を 3 番目の認証方式として追加する方法を示します。

Switch(config-if)# authentication order dotx mab webauth

次の例では、MAB を最初の認証方式として、Web 認証を 2 番目の認証方式として追加する方法を示します。

Switch(config-if)# authentication order mab webauth

設定を確認するには、show authentication 特権 EXEC コマンドを入力します。

authentication periodic

ポート上で再認証をイネーブルまたはディセーブルにするには、authentication periodic インターフェイスコンフィギュレーションコマンドを使用します。再認証をディセーブルにする場合は、このコマンドの no 形式を入力します。

authentication periodic

no authentication periodic

コマンドのデフォルト

再認証がディセーブルになっています。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

定期的に再認証を試行する間隔を設定するには、authentication timer reauthentication インターフェイスコンフィギュレーションコマンドを使用します。

例

次の例では、ポート上で定期的な再認証をイネーブルにする方法を示します。

Switch(config-if)# authentication periodic

次の例では、ポート上で定期的な再認証をディセーブルにする方法を示します。

Switch(config-if)# no authentication periodic

設定を確認するには、show authentication 特権 EXEC コマンドを入力します。

authentication port-control

ポートの許可ステートを手動で制御するには、authentication port-control インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

authentication port-control {auto | force-authorized | force-un authorized}

no authentication port-control {auto | force-authorized | force-un authorized}

シンタックスの説明

auto	ポート上で IEEE 802.1x 認証をイネーブルにします。スイッチとクライアント間の IEEE 802.1x 認証交換に基づいてポートが許可ステートまたは無許可ステートに切り替えられます。
force-authorized	ポート上で IEEE 802.1x 認証をディセーブルにします。ポートは、認証交換なしで許可ステートに変わります。ポートはクライアントとの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。
force-un authorized	ポートへのアクセスをすべて拒否します。ポートは無許可ステートに変わり、クライアントからの認証の試みをすべて無視します。スイッチはポートを介してクライアントに認証サービスを提供できません。

デフォルト

デフォルトの設定は force-authorized です。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

次のポートタイプのいずれか 1 つに対してだけ auto キーワードを使用します。

• トランクポート：トランクポート上で IEEE 802.1x 認証をイネーブルにしようとすると、エラーメッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートのモードをトランクに変更しようとしても、エラーメッセージが表示され、ポートモードは変更されません。

• ダイナミックポート：ダイナミックポートは、ネイバーとネゴシエートしてトランクポートになる場合があります。ダイナミックポート上で IEEE 802.1x 認証をイネーブルにしようとすると、エラーメッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートのモードをダイナミックに変更しようとしても、エラーメッセージが表示され、ポートモードは変更されません。

• ダイナミックアクセスポート：ダイナミックアクセス（VLAN Query Protocol [VQP]）ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラーメッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートをダイナミック VLAN に変更しようとしても、エラーメッセージが表示され、VLAN 設定は変更されません。

• EtherChannel ポート：アクティブまたはアクティブでない EtherChannel メンバーを IEEE 802.1x ポートとして設定しないでください。EtherChannel ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラーメッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。

• Switched Port Analyzer（SPAN; スイッチドポートアナライザ）および Remote SPAN（RSPAN; リモート SPAN）宛先ポート：SPAN または RSPAN 宛先ポートであるポートの IEEE 802.1x 認証をイネーブルにすることができます。ただし、そのポートが SPAN または RSPAN 宛先として削除されるまで、IEEE 802.1x 認証はディセーブルのままになります。SPAN または RSPAN 送信元ポートでは IEEE 802.1x 認証をイネーブルにすることができます。

スイッチの IEEE 802.1x 認証をグローバルにディセーブルにするには、no dot1x system-auth-control グローバルコンフィギュレーションコマンドを使用します。特定のポート上で IEEE 802.1x 認証をディセーブルにするか、またはデフォルト設定に戻すには、no authentication port-control インターフェイスコンフィギュレーションコマンドを使用します。

例

次の例では、ポートステートを auto に設定する方法を示します。

Switch(config-if)# authentication port-control auto

次の例では、ポートステートを force-authorized に設定する方法を示します。

Switch(config-if)# authentication port-control force-authorized

次の例では、ポートステートを force-unauthorized に設定する方法を示します。

Switch(config-if)# authentication port-control force-unauthorized

設定を確認するには、show authentication 特権 EXEC コマンドを入力します。

authentication priority

認証方式をポートプライオリティリストに追加するには、authentication priority インターフェイスコンフィギュレーションコマンドを使用します。

auth priority [dot1x | mab] {webauth}

no auth priority [dot1x | mab] {webauth}

シンタックスの説明

dot1x	認証方式の並び順に 802.1x を追加します。
mab	認証方式の並び順に MAC authentication bypass（MAB; MAC 認証バイパス）を追加します。
webauth	認証方式の並び順に Web 認証を追加します。

コマンドのデフォルト

デフォルトのプライオリティは 802.1x 認証、MAC 認証バイパス、Web 認証の順となっています。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

順序付けによって、スイッチのポートに新しいデバイスを接続した場合に試行される認証方式の順序が決まります。

ポート上で複数のフォールバック方式を設定する場合は、Web 認証（webauth）を最後に設定します。

それぞれの認証方式にプライオリティを割り当てると、プライオリティの低い認証方式の実行中にプライオリティの高い認証方式を割り込ませることができます。

（注）クライアントがすでに認証されている場合でも、プライオリティの高い方式による割り込みが発生したときに再認証することが可能です。

認証方式のデフォルトのプライオリティは、実行順序に占める認証方式の位置に等しく、802.1x 認証、MAC 認証バイパス、Web 認証の順となります。このデフォルトの順序を変更するには、dot1x、mab、webauth の各キーワードを使用します。

例

次の例では、802.1x を最初の認証方式として、Web 認証を 2 番目の認証方式として設定する方法を示します。

Switch(config-if)# authentication priority dotx webauth

次の例では、MAB を最初の認証方式として、Web 認証を 2 番目の認証方式として設定する方法を示します。

Switch(config-if)# authentication priority mab webauth

設定を確認するには、show authentication 特権 EXEC コマンドを入力します。

authentication timer

802.1x 対応ポートのタイムアウトと再認証のパラメータを設定するには、authentication timer インターフェイスコンフィギュレーションコマンドを使用します。

authentication timer {{[inactivity | reauthenticate] [server | am]} {restart value}}

no authentication timer {{[inactivity | reauthenticate] [server | am]} {restart value}}

シンタックスの説明

inactivity	アクティビティがない場合にクライアントを無許可とするまでの間隔（秒単位）。
reauthenticate	自動再認証の開始するまでの時間（秒単位）。
server	無許可ポートの認証を試行するまでの間隔（秒単位）。
restart	無許可ポートの認証を試行するまでの間隔（秒単位）。
value	1 ～ 65535 の値を入力します（秒単位）。

デフォルト

inactivity、server、restart の各キーワードはオフに設定されています。reauthenticate キーワードは 1 時間に設定されています。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

タイムアウト値を設定しないと、802.1x セッションを許可した状態が続くことになります。この場合は、他のホストがそのポートを使用することも、接続されているホストが同じスイッチ上の別のポートに移動することもできません。

例

次の例では、認証非アクティビティタイマーを 60 秒に設定する方法を示します。

Switch(config-if)# authentication timer inactivity 60

次の例では、再認証タイマーを 120 秒に設定する方法を示します。

Switch(config-if)# authentication timer restart 120

設定を確認するには、show authentication 特権 EXEC コマンドを入力します。

authentication violation

新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続されたあとに新しいデバイスがそのポートに接続された場合に発生する違反モードを設定するには、authentication violation インターフェイスコンフィギュレーションコマンドを使用します。

authentication violation {protect | restrict | shutdown}

no authentication violation {protect | restrict | shutdown}

シンタックスの説明

protect	予期しない着信 MAC アドレスをドロップします。Syslog エラーは生成されません。
restrict	違反エラーが発生した場合に Syslog エラーを生成します。
shutdown	予期しない MAC アドレスが発生したポートまたは仮想ポートを errordisable にします。

デフォルト

デフォルトでは認証違反シャットダウンモードがイネーブルになっています。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

例

次の例では、IEEE 802.1x 対応ポートを errordisable として設定し、新しいデバイスがそのポートに接続されたときにシャットダウンする方法を示します。

Switch(config-if)# authentication violation shutdown

次の例では、新しいデバイスがポートに接続された場合にシステムエラーメッセージを生成し、制限モードに切り替わるように IEEE 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# authentication violation restrict

次の例では、新しいデバイスがポートに接続された場合にそのデバイスを無視するように IEEE 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# authentication violation protect

設定を確認するには、show authentication 特権 EXEC コマンドを入力します。

auto qos voip

QoS（Quality Of Service）ドメイン内の Voice over IP（VoIP）に対して QoS を自動的に設定するには、 auto qos voip インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

auto qos voip { cisco-phone | cisco-softphone | trust }

no auto qos voip [ cisco-phone | cisco-softphone | trust ]

シンタックスの説明

cisco-phone	このポートが Cisco IP Phone に接続されていると判断し、自動的に VoIP の QoS を設定します。着信パケットの QoS ラベルが信頼されるのは、IP Phone が検知される場合に限ります。
cisco-softphone	このポートが Cisco SoftPhone を実行しているデバイスに接続されていると判断し、自動的に VoIP の QoS を設定します。
trust	このポートが信頼できるスイッチまたはルータに接続されていると判断し、自動的に VoIP の QoS を設定します。着信パケットの QoS ラベルは信頼されます。非ルーテッドポートの場合は、着信パケットの CoS 値が信頼されます。ルーテッドポートでは、着信パケットの DSCP 値が信頼されます。

デフォルト

Auto-QoS は、ポート上でディセーブルに設定されています。

auto-QoS がイネーブルの場合は、表 2-2 に示すように、入力パケットのラベルを使用して、トラフィックの分類、パケットラベルの割り当て、および入力/出力キューの設定を行います。

表 2-2 トラフィックタイプ、パケットラベル、およびキュー
	VoIP データトラフィック	VoIP コントロールトラフィック	ルーティングプロトコルトラフィック	STP 1 BPDU 2 トラフィック	リアルタイムビデオトラフィック	その他すべてのトラフィック
DSCP3	46	24, 26	48	56	34	-
CoS4	5	3	6	7	3	-
CoS から入力キューへのマッピング	2、3、4、5、6、7（キュー 2）					0、1（キュー 1）
CoS から出力キューへのマッピング	5（キュー 1）	3、6、7（キュー 2）			4（キュー 3）	2 （キュー 3）	0、1（キュー 4）

^1.STP = Spanning-Tree Protocol（スパニングツリープロトコル）

^2.BPDU = Bridge Protocol Data Unit（ブリッジプロトコルデータユニット）

^3.DSCP = Differentiated Service Code Point（Diffserv コードポイント）

^4.CoS = Class of Service（サービスクラス）

表 2-3 に、入力キューに対して生成された Auto-QoS の設定を示します。

表 2-3 入力キューに対する auto-QoS の設定
入力キュー	キュー番号	CoS からキューへのマッピング	キューの重み（帯域幅）	キュー（バッファ）サイズ
SRR5 共有	1	0, 1	81%	67%
プライオリティ	2	2, 3, 4, 5, 6, 7	19%	33%

^5.SRR = Shaped Round Robin（シェイプドラウンドロビン）。入力キューは共有モードのみサポートします。

表 2-4 に、出力キューに対して生成される auto-QoS の設定を示します。

表 2-4 出力キューに対する auto-QoS の設定
出力キュー	キュー番号	CoS からキューへのマッピング	キューの重み（帯域幅）	ギガビット対応ポートのキュー（バッファ）サイズ	10/100 イーサネットポートのキュー（バッファ）サイズ
プライオリティ（シェイプド）	1	5	最大 100%	16%	10%
SRR 共有	2	3, 6, 7	10%	6%	10%
SRR 共有	3	2, 4	60%	17%	26%
SRR 共有	4	0, 1	20%	61%	54%

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

QoS ドメイン内の VoIP トラフィックに適切な QoS を設定する場合は、このコマンドを使用します。QoS ドメインには、スイッチ、ネットワーク内部、QoS の着信トラフィックを分類することのできるエッジ装置などが含まれます。

auto-QoS はスイッチとルーテッドポート上の Cisco IP Phone を使用した VoIP と、Cisco SoftPhone アプリケーションが動作する装置を使用した VoIP に対してスイッチを設定します。これらのリリースでは、Cisco IP SoftPhone バージョン 1.3(3) 以降のみがサポートされます。接続される装置は Cisco CallManager バージョン 4 以降を使用する必要があります。

show auto qos コマンドの出力には、Cisco IP Phone のサービスポリシー情報が表示されます。

auto-QoS のデフォルトを使用するには、auto-QoS をイネーブルにしてから、その他の QoS コマンドを設定する必要があります。auto-QoS をイネーブルにしたあとに、auto-QoS を調整できます。

（注）スイッチは、CLI（コマンドラインインターフェイス）からコマンドが入力された場合と同じように、auto-QoS によって生成されたコマンドを適用します。既存のユーザ設定では、生成されたコマンドの適用に失敗することがあります。また、生成されたコマンドで既存の設定が上書きされることもあります。これらのアクションは、警告を表示せずに実行されます。生成されたコマンドがすべて正常に適用された場合、上書きされなかったユーザ入力の設定は実行コンフィギュレーション内に残ります。上書きされたユーザ入力の設定は、現在の設定をメモリに保存せずに、スイッチをリロードすると復元できます。生成されたコマンドの適用に失敗した場合は、前の実行コンフィギュレーションが復元されます。

これが auto-QoS をイネーブルにする最初のポートの場合は、auto-QoS によって生成されたグローバルコンフィギュレーションコマンドに続いてインターフェイスコンフィギュレーションコマンドが実行されます。別のポートで auto-QoS をイネーブルにすると、そのポートに対して auto-QoS によって生成されたインターフェイスコンフィギュレーションコマンドだけが実行されます。

最初のポートで auto-QoS 機能をイネーブルにすると、次の自動アクションが実行されます。

• QoS はグローバルにイネーブル化され（ mls qos グローバルコンフィギュレーションコマンド）、その他のグローバルコンフィギュレーションコマンドが追加されます。

スイッチポートが Cisco IOS Release 12.2(37)SE かそれよりも前のリリースで auto qos voip cisco-phone インターフェイスコンフィギュレーションコマンドを使用して設定された場合、auto-QoS によって Cisco IOS Release 12.2(40)SE に新しく生成されたコマンドは、ポートに適用されません。このようなコマンドを自動的に適用するには、設定を削除してからポートに再度適用する必要があります。

• Cisco SoftPhone が動作する装置に接続されたネットワークエッジにあるポートに auto qos voip cisco-softphone インターフェイスコンフィギュレーションコマンドを入力した場合、スイッチはポリシングを使用してパケットがプロファイル内かプロファイル外かを判断し、パケットに対するアクションを指定します。パケットに 24、26、または 46 という DSCP 値がない場合、またはパケットがプロファイル外にある場合、スイッチは DSCP 値を 0 に変更します。スイッチは、ポートの入力キューと出力キューを、表 2-3 および表 2-4 の設定値に従って設定します。

• ネットワーク内部に接続されたポート上で、 auto qos voip trust インターフェイスコンフィギュレーションコマンドを入力した場合、スイッチは、入力パケットでルーティングされないポートの CoS 値、またはルーテッドポートの DSCP 値を信頼します（トラフィックが他のエッジ装置ですでに分類されていることが前提条件になります）。スイッチは、ポートの入力キューと出力キューを、表 2-3 および表 2-4 の設定値に従って設定します。

スタティックポート、ダイナミックアクセスポート、音声 VLAN アクセスポート、およびトランクポートで auto-QoS をイネーブルにできます。ルーテッドポートにある Cisco IP Phone で auto-QoS をイネーブルにする場合、スタティック IP アドレスを IP Phone に割り当てる必要があります。

（注） Cisco SoftPhone が動作する装置がスイッチまたはルーテッドポートに接続されている場合、スイッチはポートごとに 1 つの Cisco SoftPhone アプリケーションのみをサポートします。

auto-QoS をイネーブルにしたあと、名前に AutoQoS を含むポリシーマップや集約ポリサーを変更しないでください。ポリシーマップや集約ポリサーを変更する必要がある場合、そのコピーを作成し、コピーしたポリシーマップやポリサーを変更します。生成されたポリシーマップの代わりに新しいポリシーマップを使用するには、生成したポリシーマップをインターフェイスから削除して、新しいポリシーマップを適用します。

auto-QoS がイネーブルのときに自動的に生成される QoS の設定を表示するには、auto-QoS をイネーブルにする前にデバッグをイネーブルにします。 debug auto qos 特権 EXEC コマンドを使用すると、auto-QoS のデバッギングがイネーブルになります。詳細については、 debug auto qos コマンドを参照してください。

ポートの auto-QoS をディセーブルにするには、no auto qos voip インターフェイスコンフィギュレーションコマンドを使用します。このポートに対して、auto-QoS によって生成されたインターフェイスコンフィギュレーションコマンドだけが削除されます。auto-QoS をイネーブルにした最後のポートで、 no auto qos voip コマンドを入力すると、auto-QoS によって生成されたグローバルコンフィギュレーションコマンドが残っている場合でも、auto-QoS はディセーブルとみなされます（グローバルコンフィギュレーションによって影響を受ける他のポートでのトラフィックの中断を避けるため）。 no mls qos グローバルコンフィギュレーションコマンドを使用して、auto-QoS によって生成されたグローバルコンフィギュレーションコマンドをディセーブルにできます。QoS がディセーブルの場合、パケットが修正されなくなるため（パケットの CoS、DSCP、IP precedence の値は変更されない）、ポートの信頼性に関する概念はなくなります。トラフィックは Pass-Through モードでスイッチングされます（パケットは書き換えられることなくスイッチングされ、ポリシングなしのベストエフォートに分類されます）。

例

次の例では、ポートに接続されているスイッチまたはルータが信頼できる装置である場合に、auto-QoS をイネーブルにし、着信パケットで受信した QoS ラベルを信頼する方法を示します。

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# auto qos voip trust

設定を確認するには、 show auto qos interface interface-id 特権 EXEC コマンドを入力します。

boot config-file

Cisco IOS がシステム設定の不揮発性コピーの読み書きに使用するファイル名を指定するには、 boot config-file グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot config-file flash: / file-url

no boot config-file

シンタックスの説明

flash:/ file-url

コンフィギュレーションファイルのパス（ディレクトリ）および名前です。

デフォルト

デフォルトのコンフィギュレーションファイルは、flash:config.text です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

このコマンドは、CONFIG_FILE 環境変数の設定を変更します。詳細については、付録 A「IE 3000 スイッチブートローダコマンド」を参照してください。

boot enable-break

自動ブートプロセスの中断をイネーブルにするには、 boot enable-break グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot enable-break

no boot enable-break

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

ディセーブル。コンソール上で Break キーを押しても自動ブートプロセスを中断することはできません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドを入力すると、フラッシュファイルシステムが初期化されたあとで Break キーを押すことにより、自動ブートプロセスを中断することができます。

（注）このコマンドの設定に関係なく、スイッチ前面パネルの MODE ボタンを押すと、いつでも自動ブートプロセスを中断できます。

このコマンドは、ENABLE_BREAK 環境変数の設定を変更します。詳細については、付録 A「IE 3000 スイッチブートローダコマンド」を参照してください。

boot helper

ブートローダ初期化中にダイナミックにファイルをロードして、ブートローダの機能を拡張するかまたは機能にパッチを当てるには、 boot helper グローバルコンフィギュレーションコマンドを使用します。このコマンドをデフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot helper filesystem :/ file-url ...

no boot helper

シンタックスの説明

filesystem :	フラッシュファイルシステムのエイリアスです。システムボードフラッシュデバイスには flash: を使用します。
/ file-url	ローダ初期化中に動的にロードするためのパス（ディレクトリ）およびロード可能なファイルのリストです。イメージ名はセミコロンで区切ります。

デフォルト

ヘルパーファイルはロードされません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

この変数は、内部開発およびテスト専用です。

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

このコマンドは、HELPER 環境変数の設定を変更します。詳細については、付録 A「IE 3000 スイッチブートローダコマンド」を参照してください。

boot helper-config-file

Cisco IOS ヘルパーイメージが使用するコンフィギュレーションファイルの名前を指定するには、 boot helper-config-file グローバルコンフィギュレーションコマンドを使用します。このコマンドが設定されていない場合は、CONFIG_FILE 環境変数によって指定されたファイルが、ロードされたすべてのバージョンの Cisco IOS に使用されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot helper-config-file filesystem :/ file-url

no boot helper-config file

シンタックスの説明

filesystem :	フラッシュファイルシステムのエイリアスです。システムボードフラッシュデバイスには flash: を使用します。
/ file-url	ロードするパス（ディレクトリ）およびヘルパーコンフィギュレーションファイル

デフォルト

ヘルパーコンフィギュレーションファイルは指定されません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

この変数は、内部開発およびテスト専用です。

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

このコマンドは、HELPER_CONFIG_FILE 環境変数の設定を変更します。詳細については、付録 A「IE 3000 スイッチブートローダコマンド」を参照してください。

boot manual

次回ブートサイクル中にスイッチの手動起動をイネーブルにするには、 boot manual グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot manual

no boot manual

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

手動による起動はディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

次回システムを再起動すると、スイッチはブートローダモードで起動します。このことは switch: プロンプトで確認できます。システムを起動するには、 boot ブートローダコマンドを使用して起動可能なイメージの名前を指定します。

このコマンドは、MANUAL_BOOT 環境変数の設定を変更します。詳細については、付録 A「IE 3000 スイッチブートローダコマンド」を参照してください。

boot private-config-file

Cisco IOS がプライベート設定の不揮発性コピーの読み書きに使用するファイル名を指定するには、 boot private-config-file グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot private-config-file filename

no boot private-config-file

シンタックスの説明

filename

プライベートコンフィギュレーションファイルの名前

デフォルト

デフォルトのコンフィギュレーションファイルは、 private-config です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

ファイル名は、大文字と小文字を区別します。

例

次の例では、プライベートコンフィギュレーションファイルの名前を pconfig と指定する方法を示します。

Switch(config)# boot private-config-file pconfig

boot system

次回のブートサイクル中にロードする Cisco IOS イメージを指定するには、 boot system グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

boot system filesystem :/ file-url ...

no boot system

シンタックスの説明

filesystem :	フラッシュファイルシステムのエイリアスです。システムボードフラッシュデバイスには flash: を使用します。
/ file-url	ブート可能なイメージのパス（ディレクトリ）および名前。各イメージ名はセミコロンで区切ります。

デフォルト

スイッチは、BOOT 環境変数内の情報を使用して、自動的にシステムの起動を試みます。この変数が設定されていない場合、スイッチは、フラッシュファイルシステム全体に再帰的な縦型検索を行って、最初の実行可能イメージをロードして実行しようとします。ディレクトリの縦型検索では、検出した各サブディレクトリを完全に検索してから元のディレクトリでの検索を続けます。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

ファイル名およびディレクトリ名では、大文字と小文字が区別されます。

archive download-sw 特権 EXEC コマンドを使用してシステムイメージを保存している場合、 boot system コマンドを使用する必要はありません。 boot system コマンドは自動的に処理され、ダウンロードされたイメージがロードされます。

このコマンドは、BOOT 環境変数の設定を変更します。詳細については、付録 A「IE 3000 スイッチブートローダコマンド」を参照してください。

channel-group

EhterChannel グループにイーサネットポートを割り当てたり、EtherChannel モードをイネーブルにしたりするには、 channel-group インターフェイスコンフィギュレーションコマンドを使用します。イーサネットポートを EtherChannel グループから削除する場合は、このコマンドの no 形式を使用します。

channel-group channel -group-number mode { active | { auto [ non-silent ]} | { desirable [ non-silent ]} | on | passive }

no channel-group

PAgP modes:
channel-group channel -group-number mode { { auto [ non-silent ]} | { desirable [ non-silent}}

LACP modes:
channel-group channel -group-number mode {active | passive}

On mode:
channel-group channel -group-number mode on

シンタックスの説明

channel-group-number	チャネルグループ番号を指定します。指定できる範囲は 1 ～ 48 です。
mode	EtherChannel モードを指定します。
active	無条件に Link Aggregation Control Protocol（LACP）をイネーブルにします。 active モードは、ポートをネゴシエーションステートにします。この場合、ポートは LACP パケットを送信することによって、他のポートとのネゴシエーションを開始します。チャネルは、active モードまたは passive モードの別のポートグループで形成されます。
auto	Port Aggregation Protocol（PAgP; ポート集約プロトコル）装置が検出された場合にかぎり、PAgP をイネーブルにします。 auto モードは、ポートをパッシブネゴシエーションステートにします。この場合、ポートは受信する PAgP パケットに応答しますが、PAgP パケットネゴシエーションを開始することはありません。チャネルは、desirable モードの別のポートグループでだけ形成されます。 auto がイネーブルの場合、サイレント動作がデフォルトになります。
desirable	PAgP を無条件でイネーブルにします。 desirable モードは、ポートをアクティブネゴシエーションステートにします。この場合、ポートは PAgP パケットを送信することによって、他のポートとのネゴシエーションを開始します。EtherChannel は、desirable モードまたは auto モードの別のポートグループで形成されます。 desirable がイネーブルの場合は、デフォルトでサイレント動作となります。
non-silent	（任意）他の装置からのトラフィックが予想されている場合に PAgP モードで auto または desirable キーワードとともに使用されます。
on	on モードをイネーブルにします。 on モードでは、使用可能な EtherChannel が存在するのは、両方の接続ポートグループが on モードになっている場合だけです。
passive	LACP 装置が検出された場合に限り、LACP をイネーブルにします。 passive モードは、ポートをネゴシエーションステートにします。この場合、ポートは受信した LACP パケットに応答しますが、LACP パケットネゴシエーションを開始することはありません。チャネルは、active モードの別のポートグループでだけ形成されます。

デフォルト

チャネルグループは割り当てられません。

モードは設定されていません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

レイヤ 2 EtherChannel の場合、物理ポートをチャネルグループに割り当てる前に、先に interface port-channel グローバルコンフィギュレーションコマンドを使用してポートチャネルインターフェイスを作成しておく必要はありません。代わりに、 channel-group インターフェイスコンフィギュレーションコマンドを使用できます。論理インターフェイスがまだ作成されていない場合は、チャネルグループが最初の物理ポートを取得した時点で、自動的にポートチャネルインターフェイスが作成されます。最初にポートチャネルインターフェイスを作成する場合は、 channel-group-number を port - channel-number と同じ番号にしても、新しい番号にしてもかまいません。新しい番号を使用した場合、 channel-group コマンドは動的に新しいポートチャネルを作成します。

チャネルグループの一部である物理ポートに割り当てられた IP アドレスをディセーブルにする必要はありませんが、これをディセーブルにすることを強く推奨します。

interface port-channel コマンドの次に no switchport インターフェイスコンフィギュレーションコマンドを使用して、レイヤ 3 のポートチャネルを作成できます。インターフェイスをチャネルグループに適用する前に、ポートチャネルの論理インターフェイスを手動で設定してください。

EtherChannel を設定したあと、ポートチャネルインターフェイスに加えられた設定の変更は、そのポートチャネルインターフェイスに割り当てられたすべての物理ポートに適用されます。物理ポートに適用された設定の変更は、設定を適用したポートのみに有効です。EtherChannel 内のすべてのポートのパラメータを変更するには、ポートチャネルインターフェイスに対してコンフィギュレーションコマンドを適用します。たとえば、spanning-tree コマンドを使用して、レイヤ 2 EtherChannel をトランクとして設定します。

auto モードまたは desirable モードとともに non-silent を指定しなかった場合は、サイレントが指定されているものとみなされます。サイレントモードを設定するのは、PAgP 非対応で、かつほとんどパケットを送信しない装置にスイッチを接続する場合です。サイレントパートナーの例は、トラフィックを生成しないファイルサーバ、またはパケットアナライザなどです。この場合は、物理ポートで PAgP を稼動して、ポートが動作可能にならないようにします。ただし、PAgP によって、ポートは動作可能となり、そのポートをチャネルグループへ接続したり、伝送用として使用したりすることができます。リンクの両端はサイレントに設定することはできません。

on モードでは、使用可能な EtherChannel が存在するのは、 on モードのポートグループが、 on モードの別のポートグループに接続する場合だけです。

注意 on モードの使用には注意が必要です。これは手動の設定であり、EtherChannel の両端にあるポートで同じ設定になっている必要があります。グループの設定を誤ると、パケット損失またはスパニングツリーのループが発生することがあります。

EtherChannel は、PAgP と LACP の両方のモードには設定しないでください。PAgP と LACP が稼動している EtherChannel グループは同じスイッチ上に共存できます。個々の EtherChannel グループは PAgP または LACP のどちらかを実行できますが、相互運用することはできません。

channel-protocol インターフェイスコンフィギュレーションコマンドを使用してプロトコルを設定した場合、設定値は、 channel-group インターフェイスコンフィギュレーションコマンドによっては上書きされません。

アクティブまたはアクティブでない EtherChannel メンバーを IEEE 802.1x ポートとして設定しないでください。EtherChannel ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラーメッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。

セキュアポートを EtherChannel の一部として、または EtherChannel ポートをセキュアポートとしては設定しないでください。

設定の注意事項の一覧については、このリリースに対応するソフトウェアコンフィギュレーションガイドの「Configuring EtherChannels」を参照してください。

注意物理 EtherChannel ポート上で、レイヤ 3 のアドレスをイネーブルにしないでください。物理 EtherChannel ポート上でブリッジグループを割り当てることは、ループが発生する原因になるため、行わないでください。

例

次の例では、EtherChannel を設定する方法を示します。VLAN 10 のスタティックアクセスポート 2 つを PAgP モード desirable であるチャネル 5 に割り当てます。

Switch# configure terminal

Switch(config)# interface range gigabitethernet1/1 -2

Switch(config-if-range)# switchport mode access

Switch(config-if-range)# switchport access vlan 10

Switch(config-if-range)# channel-group 5 mode desirable

Switch(config-if-range)# end

次の例では、EtherChannel を設定する方法を示します。VLAN 10 のスタティックアクセスポート 2 つを LACP モード active であるチャネル 5 に割り当てます。

Switch# configure terminal

Switch(config)# interface range gigabitethernet1/1 -2

Switch(config-if-range)# switchport mode access

Switch(config-if-range)# switchport access vlan 10

Switch(config-if-range)# channel-group 5 mode active

Switch(config-if-range)# end

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

channel-protocol

ポート上で使用されるプロトコルを制限してチャネリングを管理するには、 channel-protocol インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

channel-protocol { lacp | pagp }

no channel-protocol

シンタックスの説明

lacp	Link Aggregation Control Protocol（LACP）で EtherChannel を設定します。
pagp	ポート集約プロトコル（PAgP）で EtherChannel を設定します。

デフォルト

EtherChannel に割り当てられているプロトコルはありません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

LACP または PAgP に制限する場合にだけ、 channel-protocol コマンドを使用してください。 channel-protocol コマンドを使用してプロトコルを設定する場合、設定は channel-group インターフェイスコンフィギュレーションコマンドで上書きされることはありません。

EtherChannel パラメータを設定するには、 channel-group インターフェイスコンフィギュレーションコマンドを使用する必要があります。 channel-group コマンドを使用して、EtherChannel のモードを設定することもできます。

EtherChannel グループ上で、PAgP および LACP モードの両方をイネーブルにすることはできません。

PAgP と LACP には互換性がありません。チャネルの両側で同じプロトコルを使用する必要があります。

例

次の例では、EtherChannel を管理するプロトコルとして LACP を指定する方法を示します。

Switch(config-if)# channel-protocol lacp

show etherchannel [ channel-group-number ] protocol 特権 EXEC コマンドを入力すると、設定を確認できます。

cip enable

VLAN で Common Industrial Protocol（CIP）をイネーブルにするには、 cip enable インターフェイスコンフィギュレーションコマンドを使用します。CIP をディセーブルにするには、このコマンドの no形式を使用します。

cip enable

no cip enable

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトでは、すべての VLAN でCIP はディセーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。
12.2(50)SE	このコマンドはグローバルコンフィギュレーションからインターフェイスコンフィギュレーションモードに変更されました。

使用上のガイドライン

インターフェイスには物理インターフェイスではなく、VLAN を使用します。

CIP はスイッチの VLAN で 1 つのみイネーブルにできます。

CIP をイネーブルにする際は、CIP セキュリティパスワードを設定することを推奨します。

例

次に、VLAN 3 で CIP をイネーブルにする例を示します。

Switch(config)# interface vlan 20

Switch(config-if)# cip enable

次の例では、2 つ目の VLAN で CIP をイネーブルにしようとすると表示されるメッセージを示します。

Switch(config)# interface vlan 3

Switch(config-if)# cip enable

CIP is already enabled on Vlan 20

cip security

スイッチの Common Industrial Protocol（CIP）セキュリティオプションを設定するには、 cip security グローバルコンフィギュレーションコマンドを使用します。パスワードの中止またはタイムアウト値をデフォルトに戻すには、このコマンドの no 形式を使用します。

cip security {password password | window timeout value}

no cip security {password password | window timeout}

シンタックスの説明

password password	CIP セキュリティで ASCII パスワードを設定します。
window timeout	CIP セキュリティウィンドウでタイムアウトを設定します。
value	CIP セキュリティウィンドウのタイムアウト値を設定します。指定できる範囲は 1 ～ 3600 秒です。デフォルト値は 600 秒です。

デフォルト

パスワードは設定されていません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

VLAN で CIP をイネーブルにする際は、CIP セキュリティパスワードを設定することを推奨します。設定しないと、すべての CIP ユーザがスイッチを設定できます。

例

次の例では、CIP セキュリティウィンドウのタイムアウト値を 1 時間に設定する方法を示します。

Switch(config)# cip security window timeout 3600

次の例では、CIP セキュリティパスワードを 123 に設定する方法を示します。

Switch(config)# cip security password abc123

cisp enable

スイッチ上で Client Information Signalling Protocol（CISP）をイネーブルにして、サプリカントスイッチのオーセンティケータとして機能するようにするには、cisp enable グローバルコンフィギュレーションコマンドを使用します。

cisp enable

no cisp enable

シンタックスの説明

cisp enable

CISP をイネーブルにします。

デフォルト

デフォルト設定はありません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

オーセンティケータとサプリカントスイッチ間のリンクはトランクです。両方のスイッチで VTP をイネーブルにした場合、いずれも同じ VTP ドメイン名で、VTP モードがサーバである必要があります。

VTP モードを設定したら、MD5 チェックサム不一致エラーが発生しないようにするために次のことを確認してください。

• VLAN が 2 台の異なるスイッチに設定されていないこと。設定すると、同じドメインに VTP サーバが 2 台存在することになります。

• どちらのスイッチにもそれぞれ異なるコンフィギュレーションリビジョン番号が設定されていること。

例

次の例では、CISP をイネーブルにする方法を示します。

switch(config)# cisp enable

class

指定されたクラスマップ名のトラフィック分類一致条件（ police 、 set 、および trust ポリシーマップクラスコンフィギュレーションコマンドによる）を定義するには、class ポリシーマップコンフィギュレーションコマンドを使用します。既存のクラスマップを削除する場合は、このコマンドの no 形式を使用します。

class class-map-name

no class class-map-name

シンタックスの説明

class-map-name

クラスマップ名です。

デフォルト

ポリシーマップクラスマップは定義されていません。

コマンドモード

ポリシーマップコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

class コマンドを使用する前に、 policy-map グローバルコンフィギュレーションコマンドを使用してポリシーマップを識別し、ポリシーマップコンフィギュレーションモードを開始する必要があります。ポリシーマップを指定すると、ポリシーマップ内で新規クラスのポリシーを設定したり、既存クラスのポリシーを変更したりすることができます。 service-policy インターフェイスコンフィギュレーションコマンドを使用して、ポリシーマップをポートへ適用できます。

class コマンドを入力すると、ポリシーマップクラスコンフィギュレーションモードに入り、次のコンフィギュレーションコマンドが使用可能になります。

• exit ：ポリシーマップクラスコンフィギュレーションモードを終了し、ポリシーマップコンフィギュレーションモードに戻ります。

• no ：コマンドをデフォルト設定に戻します。

• police ：分類したトラフィックにポリサーまたは集約ポリサーを定義します。ポリサーは、帯域幅の限度およびその限度を超過した場合に実行するアクションを指定します。詳細については、 police および police aggregate ポリシーマップクラスコマンドを参照してください。

• set ：分類したトラフィックに割り当てる値を指定します。詳細については、 set コマンドを参照してください。

• trust ： class コマンドまたは class-map コマンドで分類したトラフィックの信頼状態を定義します。詳細については、 trust コマンドを参照してください。

ポリシーマップコンフィギュレーションモードに戻るには、 exit コマンドを使用します。特権 EXEC モードに戻るには、 end コマンドを使用します。

class コマンドは、 class-map グローバルコンフィギュレーションコマンドと同じ機能を実行します。他のポートと共有していない新しい分類が必要な場合は、 class コマンドを使用します。多数のポート間でマップを共有する場合には、class-map コマンドを使用します。

例

次の例では、 policy1 という名前のポリシーマップを作成する方法を示します。このコマンドが入力方向に添付された場合、 class1 で定義されたすべての着信トラフィックのマッチングを行い、IP Differentiated Service Code Point（DSCP; DiffServ コードポイント）を 10 に設定し、平均レート 1 Mb/s、バースト 20 KB のトラフィックをポリシングします。プロファイルを超えるトラフィックは、ポリシング設定 DSCP マップから取得した DSCP 値がマークされてから送信されます。

Switch(config)# policy-map policy1

Switch(config-pmap)# class class1

Switch(config-pmap-c)# set dscp 10

Switch(config-pmap-c)# police 1000000 20000 exceed-action policed-dscp-transmit

Switch(config-pmap-c)# exit

設定を確認するには、 show policy-map 特権 EXEC コマンドを入力します。

class-map

パケットと名前を指定したクラスとの照合に使用するクラスマップを作成し、クラスマップコンフィギュレーションモードを開始するには、 class-map グローバルコンフィギュレーションコマンドを使用します。既存のクラスマップを削除し、グローバルコンフィギュレーションモードに戻るには、このコマンドの no 形式を使用します。

class-map [ match-all | match-any ] class-map-name

no class-map [ match-all | match-any ] class-map-name

シンタックスの説明

match-all	（任意）このクラスマップ内のすべての一致ステートメントの論理積をとります。クラスマップ内のすべての基準が一致する必要があります。
match-any	（任意）このクラスマップ内の一致ステートメントの論理和をとります。1 つまたは複数の条件が一致していなければなりません。
class-map-name	クラスマップ名です。

デフォルト

クラスマップは定義されません。

match-all または match-any のどちらのキーワードも指定されていない場合、デフォルトは match-all です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

クラスマップ一致基準を作成または変更したいクラスの名前を指定し、クラスマップコンフィギュレーションモードを開始するには、このコマンドを使用します。

グローバルに名前が付けられたポートごとに適用されるサービスポリシーの一部としてパケットの分類、マーキング、および集約ポリシングを定義するには、 class-map コマンドおよびそのサブコマンドを使用します。

QoS（Quality of Service）クラスマップコンフィギュレーションモードでは、次の設定コマンドを使用できます。

• description ：クラスマップを説明します（最大 200 文字）。 show class-map 特権 EXEC コマンドは、クラスマップの説明と名前を表示します。

• exit ：QoS クラスマップコンフィギュレーションモードを終了します。

• match ：分類基準を設定します。詳細については、 match (class-map configuration) コマンドを参照してください。

• no ：クラスマップから一致ステートメントを削除します。

• rename ：現在のクラスマップの名前を変更します。クラスマップ名をすでに使用されている名前に変更すると、「 A class-map with this name already exists 」というメッセージが表示されます。

物理ポート単位でパケット分類を定義するため、クラスマップごとに 1 つずつのみ match コマンドがサポートされています。この状況では、 match-all キーワードと match-any キーワードは同じです。

1 つのクラスマップで設定できるアクセスコントロールリスト（ACL）は 1 つだけです。ACL には複数の Access Control Entry（ACE; アクセスコントロールエントリ）を含めることができます。

例

次の例では、クラスマップ class1 に 1 つの一致基準（アクセスリスト 103 ）を設定する方法を示します。

Switch(config)# access-list 103 permit ip any any dscp 10

Switch(config)# class-map class1

Switch(config-cmap)# match access-group 103

Switch(config-cmap)# exit

次の例では、クラスマップ class1 を削除する方法を示します。

Switch(config)# no class-map class1

設定を確認するには、 show class-map 特権 EXEC コマンドを入力します。

clear dot1x

スイッチまたは指定されたポートの IEEE 802.1x 情報を消去するには、 clear dot1x 特権 EXEC コマンドを使用します。

clear dot1x { all | interface interface-id }

シンタックスの説明

all	スイッチのすべての IEEE 802.1x 情報を消去します。
interface interface-id	指定されたインターフェイスの IEEE 802.1x 情報を消去します。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

clear dot1x all コマンドを使用して、すべての情報を消去できます。また、 clear dot1x interface interface-id コマンドを使用して、指定されたインターフェイスの情報のみを消去することもできます。

例

次の例では、すべての IEEE 802.1x 情報を消去する方法を示します。

Switch# clear dot1x all

次の例では、指定されたインターフェイスの IEEE 802.1x 情報を消去する方法を示します。

Switch# clear dot1x interface gigabithethernet1/1

情報が削除されたかどうかを確認するには、 show dot1x 特権 EXEC コマンドを入力します。

clear eap sessions

スイッチまたは指定されたポートの Extensible Authentication Protocol（EAP）セッション情報を消去するには、 clear eap sessions 特権 EXEC コマンドを使用します。

シンタックスの説明

credentials name	指定されたプロファイルの EAP クレデンシャル情報を消去します。
interface interface-id	指定されたインターフェイスの EAP 情報を消去します。
method name	指定された方式の EAP 情報を消去します。
transport name	指定された下位レベルの EAP トランスポート情報を消去します。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

clear eap sessions コマンドを使用すると、すべてのカウンタをクリアできます。キーワードを指定すると、特定の情報だけを消去できます。

例

次の例では、すべての EAP 情報を消去する方法を示します。

Switch# clear eap

次の例では、指定されたプロファイルの EAP セッションクレデンシャル情報を消去する方法を示します。

Switch# clear eap sessions credential type1

情報が削除されたかどうかを確認するには、 show dot1x 特権 EXEC コマンドを入力します。

clear errdisable interface

errdisable になった VLAN を再びイネーブルにするには clear errdisable interface 特権 EXEC コマンドを使用します。

clear errdisable interface interface-id vlan [vlan-list]

シンタックスの説明

vlan list

（任意）再びイネーブルにする VLAN のリストを指定します。vlan-list を指定しない場合は、すべての VLAN が再びイネーブルになります。

コマンドのデフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

shutdown および no shutdown のインターフェイスコンフィギュレーションコマンドを使用してポートを再びイネーブルにするか、clear errdisable interface コマンドを使用して VLAN の errdisable を消去します。

例

次の例では、errdisable ステートになっているポート 2 上のすべての VLAN を再度イネーブルにする方法を示します。

Switch# clear errdisable interface GigabitEthernet1/2 vlan

clear arp inspection log

ダイナミックアドレス解決プロトコル（ARP）インスペクションログバッファを消去するには、 clear ip arp inspection log 特権 EXEC コマンドを使用します。

clear ip arp inspection log

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

例

次の例では、ログバッファの内容を消去する方法を示します。

Switch# clear ip arp inspection log

ログが消去されたかどうかを確認するには、 show ip arp inspection log 特権 EXEC コマンドを入力します。

clear ip arp inspection statistics

clear ip arp inspection statistics [ vlan vlan-range ]

シンタックスの説明

vlan vlan-range

（任意）指定された 1 つまたは複数の VLAN の統計情報を消去します。

VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定できます。指定できる範囲は 1 ～ 4094 です。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

例

次の例では、VLAN 1 の統計情報を消去する方法を示します。

Switch# clear ip arp inspection statistics vlan 1

統計情報が削除されたかどうかを確認するには、 show ip arp inspection statistics vlan 1 特権 EXEC コマンドを入力します。

clear ip dhcp snooping

DHCP スヌーピングバインディングデータベース、DHCP スヌーピングバインディングデータベースエージェントの統計情報、または DHCP スヌーピング統計カウンタをクリアするには、 clear ip dhcp snooping 特権 EXEC コマンドを使用します。

clear ip dhcp snooping { binding {* | ip-address | interface interface-id | vlan vlan-id } | database statistics | statistics }

シンタックスの説明

binding	DHCP スヌーピングバインディングデータベースを消去します。
*	すべての自動バインディングを消去します。
ip-address	バインディングエントリ IP アドレスを消去します。
interface interface-id	バインディング入力インターフェイスを消去します。
vlan vlan-id	バインディングエントリ VLAN を消去します。
database statistics	DHCP スヌーピングバインディングデータベースエージェントの統計情報を消去します。
statistics	DHCP スヌーピング統計カウンタをクリアします。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

clear ip dhcp snooping database statistics コマンドを入力すると、スイッチは統計情報を消去する前にバインディングデータベースおよびバインディングファイル内のエントリを更新しません。

例

次の例では、DHCP スヌーピングバインディングデータベースエージェントの統計情報を消去する方法を示します。

Switch# clear ip dhcp snooping database statistics

統計情報が消去されたかどうかを確認するには、 show ip dhcp snooping database 特権 EXEC コマンドを入力します。

次の例では、DHCP スヌーピング統計カウンタをクリアする方法を示します。

Switch# clear ip dhcp snooping statistics

統計情報が消去されたかどうかを確認するには、 show ip dhcp snooping statistics ユーザ EXEC コマンドを入力します。

clear ipc

Interprocess Communications Protocol（IPC）統計情報を消去するには、 clear ipc 特権 EXEC コマンドを使用します。

clear ipc { queue-statistics | statistics }

（注）このコマンドは、スイッチで IP サービスイメージが稼動されている場合にのみ表示されます。

シンタックスの説明

queue-statistics	IPC キューの統計情報を消去します。
statistics	IPC の統計情報を消去します。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

clear ipc statistics コマンドを使用してすべての統計情報を消去できますが、 clear ipc queue-statistics コマンドを使用してキューの統計情報だけを消去することもできます。

例

次の例では、すべての統計情報を消去する方法を示します。

Switch# clear ipc statistics

次の例では、キューの統計情報だけを消去する方法を示します。

Switch# clear ipc queue-statistics

統計情報が削除されたかどうかを確認するには、 show ipc rpc または show ipc session 特権 EXEC コマンドを入力します。

clear ipv6 dhcp conflict

DHCP for IPv6（DHCPv6）サーバデータベースからのアドレスの衝突を消去するには、 clear ipv6 dhcp conflict 特権 EXEC コマンドを使用します。

clear ipv6 dhcp conflict {* | IPv6-address}

（注）このコマンドは、スイッチでデュアル IPv4/IPv6 SDM テンプレートが設定されており、スイッチが IP サービスイメージで実行されている場合にだけ使用可能です。

シンタックスの説明

*	すべてのアドレスの衝突を消去します。
IPv6-address	衝突するアドレスを含んだホストの IPv6 アドレスを消去します。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 { default | vlan } グローバルコンフィギュレーションコマンドを入力し、スイッチをリロードします。

衝突を削除するよう DHCPv6 サーバを設定する際、PING を使用します。クライアントは近隣探索を使用してクライアントを検出し、DECLINE メッセージを通じてサーバに報告します。アドレスの衝突が検出されると、アドレスはプールから削除されます。管理者が衝突リストからアドレスを削除するまでアドレスは割り当てられません。

アスタリスク（*）文字をアドレスパラメータとして使用すると、DHCP はすべての衝突を消去します。

例

次の例では、DHCPv6 サーバデータベースからすべてのアドレスの衝突を消去する方法を示します。

Switch# clear ipv6 dhcp conflict *

clear l2protocol-tunnel counters

プロトコルトンネルポートのプロトコルカウンタをクリアするには、 clear l2protocol-tunnel counters 特権 EXEC コマンドを使用します。

clear l2protocol-tunnel counters [ interface-id ]

（注）このコマンドは、スイッチが IP サービスイメージを稼動している場合にだけ使用できます。

シンタックスの説明

interface-id

（任意）プロトコルカウンタをクリアするインターフェイス（物理インターフェイスまたはポートチャネル）を指定します。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

スイッチまたは指定されたインターフェイスのプロトコルトンネルカウンタをクリアするには、このコマンドを使用します。

例

次の例では、インターフェイスのレイヤ 2 プロトコルトンネルカウンタをクリアする方法を示します。

Switch# clear l2protocol-tunnel counters gigabitethernet1/3

clear lacp

Link Aggregation Control Protocol（LACP）チャネルグループカウンタをクリアするには、 clear lacp 特権 EXEC コマンドを使用します。

clear lacp { channel-group-number counters | counters }

シンタックスの説明

channel-group-number	（任意）チャネルグループ番号。指定できる範囲は 1 ～ 48 です。
counters	トラフィックのカウンタをクリアします。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

clear lacp counters コマンドを使用すると、すべてのカウンタをクリアできます。また、 clear lacp channel-group-number counters コマンドを使用すると、指定のチャネルグループのカウンタだけをクリアできます。

例

次の例では、すべてのチャネルグループ情報をクリアする方法を示します。

Switch# clear lacp counters

次の例では、グループ 4 の LACP トラフィックのカウンタをクリアする方法を示します。

Switch# clear lacp 4 counters

情報が消去されたかどうかを確認するには、 show lacp counters または show lacp 4 counters 特権 EXEC コマンドを入力します。

clear mac address-table

MAC アドレステーブルから特定のダイナミックアドレス、特定のインターフェイス上のすべてのダイナミックアドレス、または特定の VLAN 上のすべてのダイナミックアドレスを削除するには、 clear mac address-table 特権 EXEC コマンドを使用します。このコマンドはまた MAC アドレス通知グローバルカウンタもクリアします。

clear mac address-table { dynamic [ address mac-addr | interface interface-id | vlan vlan-id ] | notification }

シンタックスの説明

dynamic	すべてのダイナミック MAC アドレスを削除します。
dynamic address mac-addr	（任意）指定されたダイナミック MAC アドレスを削除します。
dynamic interface interface-id	（任意）指定された物理ポートまたはポートチャネル上のすべてのダイナミック MAC アドレスを削除します。
dynamic vlan vlan-id	（任意）指定された VLAN のすべてのダイナミック MAC アドレスを削除します。指定できる範囲は 1 ～ 4094 です。
notification	履歴テーブルの通知を消去し、カウンタをリセットします。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

例

次の例では、ダイナミックアドレステーブルから指定の MAC アドレスを削除する方法を示します。

Switch# clear mac address-table dynamic address 0008.0070.0007

情報が削除されたかどうかを確認するには、 show mac address-table 特権 EXEC コマンドを入力します。

clear mac address-table move update

MAC アドレステーブルの移行更新に関連したカウンタをクリアするには、 clear mac address-table move update 特権 EXEC コマンドを使用します。

clear mac address-table move update

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

例

次の例では、MAC アドレステーブル移行更新関連カウンタをクリアする方法を示します。

Switch# clear mac address-table move update

情報がクリアされたかどうかを確認するには、 show mac address-table move update 特権 EXEC コマンドを入力します。

clear nmsp statistics

Network Mobility Services Protocol（NMSP; ネットワークモビリティサービスプロトコル）統計情報を消去するには、 clear nmsp statistics 特権 EXEC コマンドを使用します。このコマンドは、スイッチで暗号化ソフトウェアイメージが実行されている場合にだけ使用できます。

clear nmsp statistics

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

例

次の例では、NMSP 統計情報を消去する方法を示します。

Switch# clear nmsp statistics

情報が削除されたかどうかを確認するには、 show nmsp statistics 特権 EXEC コマンドを入力します。

clear pagp

Port Aggregation Protocol（PAgP; ポート集約プロトコル）チャネルグループ情報を消去するには、 clear pagp 特権 EXEC コマンドを使用します。

clear pagp { channel-group-number counters | counters }

シンタックスの説明

channel- group-number	（任意）チャネルグループ番号。指定できる範囲は 1 ～ 48 です。
counters	トラフィックのカウンタをクリアします。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

すべてのカウンタをクリアするには、 clear pagp counters コマンドを使用します。また、 clear pagp channel-group-number counters コマンドを使用すると、指定のチャネルグループのカウンタだけをクリアできます。

例

次の例では、すべてのチャネルグループ情報をクリアする方法を示します。

Switch# clear pagp counters

次の例では、グループ 10 の PAgP トラフィックのカウンタをクリアする方法を示します。

Switch# clear pagp 10 counters

情報が削除されたかどうかを確認するには、 show pagp 特権 EXEC コマンドを入力します。

clear port-security

MAC アドレステーブルからすべてのセキュアアドレスを削除するか、スイッチまたはインターフェイス上の特定タイプ（設定済み、ダイナミック、スティッキ）のすべてのセキュアアドレスを削除するには、 clear port-security 特権 EXEC コマンドを使用します。

clear port-security { all | configured | dynamic | sticky } [[ address mac-addr | interface interface-id ] [ vlan { vlan-id | { access | voice}}]]

シンタックスの説明

all	すべてのセキュア MAC アドレスを削除します。
configured	設定済みセキュア MAC アドレスを削除します。
dynamic	ハードウェアによって自動学習されたセキュア MAC アドレスを削除します。
sticky	自動学習または設定済みセキュア MAC アドレスを削除します。
address mac-addr	（任意）指定されたダイナミックセキュア MAC アドレスを削除します。
interface interface-id	（任意）指定された物理ポートまたは VLAN 上のすべてのダイナミックセキュア MAC アドレスを削除します。
vlan	（任意）指定された VLAN から指定されたセキュア MAC アドレスを削除します。 vlan キーワードを入力後、次のいずれかのオプションを入力します。 • vlan-id ：トランクポート上で、消去する必要のあるアドレスの VLAN の VLAN ID を指定します。 • access ：アクセスポートで、アクセス VLAN 上の指定されたセキュア MAC アドレスを消去します。 • voice ：アクセスポートで、音声 VLAN 上の指定されたセキュア MAC アドレスを消去します。（注）キーワード voice は、音声 VLAN がポートに設定されてそのポートがアクセス VLAN でない場合のみ使用可能です。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

例

次の例では、MAC アドレステーブルからすべてのセキュアアドレスを削除する方法を示します。

Switch# clear port-security all

次の例では、MAC アドレステーブルから特定の設定済みセキュアアドレスを削除する方法を示します。

Switch# clear port-security configured address 0008.0070.0007

次の例では、特定のインターフェイスで学習されたすべてのダイナミックセキュアアドレスを削除する方法を示します。

Switch# clear port-security dynamic interface gigabitethernet01/1

次の例では、アドレステーブルからすべてのダイナミックセキュアアドレスを削除する方法を示します。

Switch# clear port-security dynamic

情報が削除されたかどうかを確認するには、 show port-security 特権 EXEC コマンドを入力します。

clear rep counters

特定のインターフェイスまたはすべてのインターフェイスで Resilient Ethernet Protocol（REP）カウンタをクリアするには、 clear rep counters 特権 EXEC コマンドを使用します。

clear rep counters [ interface interface-id ]

シンタックスの説明

interface interface-id

（任意）カウンタをクリアする REP インターフェイスを指定します。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

すべてのカウンタをクリアするには、 clear rep counters コマンドを使用します。また、指定のインターフェイスのカウンタのみをクリアするには、clear pagp channel-group-number counters コマンドを使用します。

clear rep counters コマンドを入力すると、 show interface rep detail コマンドで出力されるカウンタのみがクリアされます。SNMP で表示されるカウンタは読み込み専用のため、クリアされません。

例

次の例では、REP インターフェイスすべての REP カウンタをすべてクリアする方法を示します。

Switch# clear rep counters

REP 情報が削除されたかどうかを確認するには、 show interfaces rep detail 特権 EXEC コマンドを入力します。

clear spanning-tree counters

スパニングツリーカウンタをクリアするには、 clear spanning-tree counters 特権 EXEC コマンドを使用します。

clear spanning-tree counters [ interface interface-id ]

シンタックスの説明

interface interface-id

（任意）指定のインターフェイスのスパニングツリーカウンタをすべてクリアします。有効なインターフェイスとしては、物理ポート、VLAN、およびポートチャネルがあります。指定できる VLAN 範囲は 1 ～ 4094 です。ポートチャネル範囲は 1 ～ 6 です。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

interface-id が指定されていない場合は、すべてのインターフェイスのスパニングツリーカウンタが消去されます。

例

次の例では、すべてのインターフェイスのスパニングツリーカウンタをクリアする方法を示します。

Switch# clear spanning-tree counters

clear spanning-tree detected-protocols

すべてのインターフェイスまたは指定されたインターフェイス上でプロトコル移行プロセスを再開する（強制的に近接スイッチと再ネゴシエートする）には、 clear spanning-tree detected-protocols 特権 EXEC コマンドを使用します。

clear spanning-tree detected-protocols [ interface interface-id ]

シンタックスの説明

interface interface-id

（任意）指定されたインターフェイスでプロトコル移行プロセスを再開します。有効なインターフェイスとしては、物理ポート、VLAN、およびポートチャネルがあります。指定できる VLAN 範囲は 1 ～ 4094 です。ポートチャネル範囲は 1 ～ 6 です。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

Rapid Per-VLAN Spanning-Tree Plus（Rapid PVST+）プロトコルまたは Multiple Spanning-Tree Protocol（MSTP）が稼動しているスイッチは、組み込みプロトコル移行メカニズムをサポートしているため、レガシー IEEE 802.1D スイッチと相互に動作できます。rapid PVST+ スイッチまたは MSTP スイッチが、プロトコルのバージョンが 0 に設定されているレガシー IEEE 802.1D コンフィギュレーション Bridge Protocol Data Unit（BPDU; ブリッジプロトコルデータユニット）を受信した場合は、そのポートで IEEE 802.1D BPDU だけを送信します。Multiple Spanning-Tree（MST）スイッチが、レガシー BPDU、別のリージョンに関連付けられた MST BPDU（バージョン 3）、または Rapid Spanning-Tree（RST; 高速スパニングツリー）BPDU（バージョン 2）を受信したときは、そのポートがリージョンの境界にあることを検知します。

ただし、スイッチは、IEEE 802.1D BPDU を受信しなくなった場合であっても、自動的には rapid PVST+ モードまたは MSTP モードには戻りません。これは、レガシースイッチが指定スイッチでなければ、リンクから削除されたかどうかを学習できないためです。この状況では、 clear spanning-tree detected-protocols コマンドを使用します。

例

次の例では、ポートでプロトコル移行プロセスを再開する方法を示します。

Switch# clear spanning-tree detected-protocols interface gigabitethernet01/1

clear vmps statistics

VLAN Query Protocol（VQP）クライアントが保持する統計情報を消去するには、 clear vmps statistics 特権 EXEC コマンドを使用します。

clear vmps statistics

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

例

次の例では、VLAN Membership Policy Server（VMPS; VLAN メンバシップポリシーサーバ）統計情報を消去する方法を示します。

Switch# clear vmps statistics

情報が削除されたかどうかを確認するには、 show vmps statistics 特権 EXEC コマンドを入力します。

clear vtp counters

VLAN Trunking Protocol（VTP; VLAN トランキングプロトコル）およびプルーニングカウンタをクリアするには、 clear vtp counters 特権 EXEC コマンドを使用します。

clear vtp counters

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

例

次の例では、VTP カウンタをクリアする方法を示します。

Switch# clear vtp counters

情報が削除されたかどうかを確認するには、 show vtp counters 特権 EXEC コマンドを入力します。

cluster commander-address

このコマンドは、スタンドアロンクラスタメンバースイッチから入力する必要はありません。クラスタコマンドスイッチは、メンバースイッチがクラスタに加入した場合に、MAC アドレスをそのメンバースイッチに自動的に提供します。クラスタメンバースイッチは、この情報および他のクラスタ情報をその実行コンフィギュレーションファイルに追加します。デバッグまたはリカバリ手順の間だけスイッチをクラスタから削除する場合は、クラスタメンバースイッチコンソールポートから、このグローバルコンフィギュレーションコマンドの no 形式を使用します。

cluster commander-address mac-address [ member number name name ]

no cluster commander-address

シンタックスの説明

mac-address	クラスタコマンドスイッチの MAC アドレス
member number	（任意）設定されたクラスタメンバースイッチの番号。指定できる範囲は 0 ～ 15 です。
name name	（任意）設定されたクラスタの名前（最大 31 文字）

デフォルト

このスイッチはどのクラスタのメンバーでもありません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、クラスタコマンドスイッチ上でのみ使用できます。

各クラスタメンバーは、クラスタコマンドスイッチを 1 つしか持てません。

クラスタメンバースイッチは、mac-address パラメータによりシステムリロード中にクラスタコマンドスイッチの ID を保持します。

特定のクラスタメンバースイッチで no 形式を入力すると、デバッグまたはリカバリ手順の間、そのクラスタメンバースイッチをクラスタから削除できます。通常、メンバーがクラスタコマンドスイッチと通信ができなくなった場合にだけ、クラスタメンバースイッチコンソールポートからこのコマンドを入力します。通常のスイッチ構成では、クラスタコマンドスイッチで no cluster member n グローバルコンフィギュレーションコマンドを入力することによってのみ、クラスタメンバースイッチを削除することを推奨します。

スタンバイクラスタコマンドスイッチがアクティブになった場合（クラスタコマンドスイッチになった場合）、このスイッチは cluster commander-address 行をその設定から削除します。

例

次の例は、クラスタメンバーの実行コンフィギュレーションの出力の一部です。

Switch(config)# show running-configuration

cluster commander-address 00e0.9bc0.a500 member 4 name my_cluster

次の例では、クラスタメンバーコンソールでクラスタからメンバーを削除する方法を示します。

Switch # configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# no cluster commander-address

設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。

cluster discovery hop-count

候補スイッチの拡張検出用にホップカウントの制限を設定するには、クラスタコマンドスイッチ上で cluster discovery hop-count グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

cluster discovery hop-count number

no cluster discovery hop-count

シンタックスの説明

number

クラスタコマンドスイッチが候補の検出を制限するクラスタエッジからのホップの数。指定できる範囲は 1 ～ 7 です。

デフォルト

ホップカウントは 3 に設定されています。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、クラスタコマンドスイッチ上でのみ使用できます。このコマンドは、クラスタメンバースイッチでは機能しません。

ホップカウントが 1 に設定された場合、拡張検出はディセーブルになります。クラスタコマンドスイッチは、クラスタのエッジから 1 ホップの候補だけを検出します。クラスタのエッジとは、最後に検出されたクラスタメンバースイッチと最初に検出された候補スイッチの間のポイントです。

例

次の例では、ホップカウント制限を 4 に設定する方法を示します。このコマンドは、クラスタコマンドスイッチで実行します。

Switch(config)# cluster discovery hop-count 4

設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。

cluster enable

このコマンド対応スイッチをクラスタコマンドスイッチとしてイネーブルにし、クラスタ名を割り当て、任意でメンバー番号を割り当てるには、コマンド対応スイッチ上で cluster enable グローバルコンフィギュレーションコマンドを使用します。すべてのメンバーを削除して、このクラスタコマンドスイッチを候補スイッチにするには、このコマンドの no 形式を使用します。

cluster enable name [ command-switch-member-number ]

no cluster enable

シンタックスの説明

name	クラスタ名（最大 31 文字）。指定できる文字は、英数字、ダッシュ、および下線のみです。
command-switch-member-number	（任意）クラスタのクラスタコマンドスイッチにメンバー番号を割り当てます。指定できる範囲は 0 ～ 15 です。

デフォルト

このスイッチはクラスタコマンドスイッチではありません。

クラスタ名は定義されません。

スイッチがクラスタコマンドスイッチである場合、メンバー番号は 0 です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、どのクラスタにも属していない任意のコマンド対応スイッチで入力します。装置がすでにクラスタのメンバーとして設定されている場合、コマンドはエラーとなります。

クラスタコマンドスイッチをイネーブルにするときには、クラスタに名前を付けてください。スイッチがすでにクラスタコマンドスイッチとして設定されており、クラスタ名が以前の名前と異なっている場合、コマンドはクラスタ名を変更します。

例

次の例では、クラスタコマンドスイッチをイネーブルにし、クラスタに名前を付け、クラスタコマンドスイッチメンバー番号を 4 に設定する方法を示します。

Switch(config)# cluster enable Engineering-IDF4 4

設定を確認するには、クラスタコマンドスイッチで show cluster 特権 EXEC コマンドを入力します。

cluster holdtime

スイッチ（コマンドまたはクラスタメンバースイッチ）が、他のスイッチのハートビートメッセージを受信しなくなってからそのスイッチのダウンを宣言するまでの期間を秒単位で設定するには、 cluster holdtime グローバルコンフィギュレーションコマンドを使用します。デフォルト設定時間に戻すには、このコマンドの no 形式を使用します。

cluster holdtime holdtime-in-secs

no cluster holdtime

シンタックスの説明

holdtime-in-secs

スイッチ（コマンドまたはクラスタメンバースイッチ）が、他のスイッチのダウンを宣言するまでの期間（秒）。指定できる範囲は 1 ～ 300 秒です。

デフォルト

デフォルトのホールドタイムは 80 秒です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

クラスタコマンドスイッチ上でのみ、このコマンドと cluster timer グローバルコンフィギュレーションコマンドを入力してください。クラスタ内のすべてのスイッチ間で設定の一貫性が保たれるように、クラスタコマンドスイッチはこの値をそのすべてのクラスタメンバーに伝達します。

ホールドタイムは通常インターバルタイマー（ cluster timer ）の倍数として設定されます。たとえば、スイッチのダウンを宣言するまでには、「ホールドタイムをインターバルタイムで割った秒数」回のハートビートメッセージが連続して受信されなかったことになります。

例

次の例では、クラスタコマンドスイッチでインターバルタイマーおよびホールドタイム時間を変更する方法を示します。

Switch(config)# cluster timer 3

Switch(config)# cluster holdtime 30

設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。

cluster member

クラスタに候補を追加するには、クラスタコマンドスイッチ上で cluster member グローバルコンフィギュレーションコマンドを使用します。メンバーをクラスタから削除するには、このコマンドの no 形式を使用します。

cluster member [ n ] mac-address H.H.H [ password enable-password ] [ vlan vlan-id ]

no cluster member n

シンタックスの説明

n	クラスタメンバーを識別する番号。指定できる範囲は 0 ～ 15 です。
mac-address H.H.H	クラスタメンバースイッチの Media Access Control（MAC; メディアアクセス制御）アドレス（16 進数）
password enable-password	候補スイッチのパスワードをイネーブルにします。候補スイッチにパスワードがない場合、パスワードは必要ありません。
vlan vlan-id	（任意）クラスタコマンドスイッチが候補をクラスタに追加するときに使用される VLAN ID。指定できる範囲は 1 ～ 4094 です。

デフォルト

新しくイネーブルになったクラスタコマンドスイッチには、関連するクラスタメンバーはありません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、候補をクラスタに追加したり、メンバーをクラスタから削除したりする場合にクラスタコマンドスイッチでのみ入力できます。このコマンドをクラスタコマンドスイッチ以外のスイッチで入力すると、スイッチはコマンドを拒否し、エラーメッセージを表示します。

スイッチをクラスタから削除する場合はメンバー番号を入力してください。ただし、スイッチをクラスタに追加する場合には、メンバー番号を入力する必要はありません。クラスタコマンドスイッチは、次に使用可能なメンバー番号を選択し、これをクラスタに加入しているスイッチに割り当てます。

候補スイッチがクラスタに加入した場合には、認証を行うためにそのスイッチのイネーブルパスワードを入力してください。パスワードは、実行コンフィギュレーションまたはスタートアップコンフィギュレーションには保存されません。候補スイッチがクラスタのメンバーになったあと、そのパスワードはクラスタコマンドスイッチパスワードと同じになります。

スイッチにホスト名が設定されていない場合、クラスタコマンドスイッチは、メンバー番号をクラスタコマンドスイッチホスト名に追加し、これをクラスタメンバースイッチに割り当てます。

VLAN ID を指定していない場合、クラスタコマンドスイッチは自動的に VLAN を選択し、候補をクラスタに追加します。

例

次の例では、スイッチをメンバー 2、MAC アドレス 00E0.1E00.2222、パスワード key としてクラスタに追加する方法を示します。クラスタコマンドスイッチは、VLAN 3 を経由して候補をクラスタに追加します。

Switch(config)# cluster member 2 mac-address 00E0.1E00.2222 password key vlan 3

次の例では、MAC アドレス 00E0.1E00.3333 のスイッチをクラスタに追加する方法を示します。このスイッチにはパスワードはありません。クラスタコマンドスイッチは、次に使用可能なメンバー番号を選択し、これをクラスタに加入しているスイッチに割り当てます。

Switch(config)# cluster member mac-address 00E0.1E00.3333

設定を確認するには、クラスタコマンドスイッチで show cluster members 特権 EXEC コマンドを入力します。

cluster outside-interface

クラスタの Network Address Translation（NAT; ネットワークアドレス変換）の外部インターフェイスを設定し、IP アドレスのないメンバーがクラスタの外部にある装置と通信できるようにするには、 cluster outside-interface グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

cluster outside-interface interface-id

no cluster outside-interface

シンタックスの説明

interface-id

外部インターフェイスとして機能するインターフェイス。有効なインターフェイスとしては、物理インターフェイス、ポートチャネル、または VLAN があります。ポートチャネル範囲は 1 ～ 48 です。指定できる VLAN 範囲は 1 ～ 4094 です。

デフォルト

デフォルトの外部インターフェイスは、クラスタコマンドスイッチによって自動的に選択されます。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、クラスタコマンドスイッチ上でのみ入力できます。クラスタメンバースイッチでコマンドを入力すると、エラーメッセージが表示されます。

例

次の例では、VLAN 1 に外部インターフェイスを設定する方法を示します。

Switch(config)# cluster outside-interface vlan 1

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

cluster run

スイッチでクラスタ処理をイネーブルにするには、 cluster run グローバルコンフィギュレーションコマンドを使用します。スイッチでクラスタ処理をディセーブルにするには、このコマンドの no 形式を使用します。

cluster run

no cluster run

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

すべてのスイッチでクラスタ処理がイネーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

クラスタコマンドスイッチ上で no cluster run コマンドを入力すると、クラスタコマンドスイッチはディセーブルになります。クラスタリングはディセーブルになり、スイッチは候補スイッチにはなれません。

クラスタメンバースイッチで no cluster run コマンドを入力すると、このメンバースイッチはクラスタから削除されます。クラスタリングはディセーブルになり、スイッチは候補スイッチにはなれません。

クラスタに属していないスイッチで no cluster run コマンドを入力すると、クラスタ処理はそのスイッチでディセーブルになります。このスイッチは候補スイッチにはなれません。

例

次の例では、クラスタコマンドスイッチでクラスタ処理をディセーブルにする方法を示します。

Switch(config)# no cluster run

設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。

cluster standby-group

既存の Hot Standby Router Protocol（HSRP; ホットスタンバイルータプロトコル）にクラスタをバインドしてクラスタコマンドスイッチの冗長性をイネーブルにするには、 cluster standby-group グローバルコンフィギュレーションコマンドを使用します。routing-redundancy キーワードを入力することで、同一の HSRP グループが、クラスタコマンドスイッチの冗長性およびルーティングの冗長性に対して使用できるようになります。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

cluster standby-grou p HSRP-group-name [ routing-redundancy ]

no cluster standby-group

シンタックスの説明

HSRP-group-name	クラスタにバインドされる HSRP グループの名前。設定できるグループ名は 32 文字までです。
routing-redundancy	（任意）同一の HSRP スタンバイグループをイネーブルにし、クラスタコマンドスイッチの冗長性およびルーティングの冗長性に対して使用します。

デフォルト

クラスタは、どの HSRP グループにもバインドされません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、クラスタコマンドスイッチ上でのみ入力できます。クラスタメンバースイッチでこれを入力すると、エラーメッセージが表示されます。

クラスタコマンドスイッチは、クラスタ HSRP バインディング情報をすべてのクラスタ HSRP 対応メンバーに伝播します。各クラスタメンバースイッチはバインディング情報を NVRAM（不揮発性 RAM）に保存します。HSRP グループ名は、有効なスタンバイグループである必要があります。そうでない場合、エラーが発生してコマンドが終了します。

クラスタにバインドする HSRP スタンバイグループのすべてのメンバーに同じグループ名を使用する必要があります。バインドされる HSRP グループのすべてのクラスタ HSRP 対応メンバーに同じ HSRP グループ名を使用してください（クラスタを HSRP グループにバインドしない場合には、クラスタコマンダおよびメンバーに異なる名前を使用できます）。

例

次の例では、 my_hsrp という名前の HSRP グループをクラスタにバインドする方法を示します。このコマンドは、クラスタコマンドスイッチで実行します。

Switch(config)# cluster standby-group my_hsrp

次の例では、同じ HSRP グループ名 my_hsrp を使用して、ルーティング冗長とクラスタ冗長を確立する方法を示します。

Switch(config)# cluster standby-group my_hsrp routing-redundancy

次の例では、このコマンドがクラスタコマンドスイッチから実行され、指定された HSRP スタンバイグループが存在しない場合のエラーメッセージを示します。

Switch(config)# cluster standby-group my_hsrp

%ERROR: Standby (my_hsrp) group does not exist

次の例では、このコマンドがクラスタメンバースイッチで実行された場合のエラーメッセージを示します。

Switch(config)# cluster standby-group my_hsrp routing-redundancy

%ERROR: This command runs on a cluster command switch

設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。出力は、クラスタ内の冗長性がイネーブルになったかどうかを示します。

cluster timer

ハートビートメッセージの間隔を秒単位で設定するには、 cluster timer グローバルコンフィギュレーションコマンドを使用します。デフォルト設定の間隔に戻すには、このコマンドの no 形式を使用します。

cluster timer interval-in-secs

no cluster timer

シンタックスの説明

interval-in-secs

ハートビートメッセージ間の間隔（秒）。指定できる範囲は 1 ～ 300 秒です。

デフォルト

間隔は 8 秒です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドと cluster holdtime グローバルコンフィギュレーションコマンドは、クラスタコマンドスイッチ上でのみ入力してください。クラスタ内のすべてのスイッチ間で設定の一貫性が保たれるように、クラスタコマンドスイッチはこの値をそのすべてのクラスタメンバーに伝達します。

ホールドタイムは通常ハートビートインターバルタイマー（ cluster timer ）の倍数として設定されます。たとえば、スイッチのダウンを宣言するまでには、「ホールドタイムをインターバルタイムで割った秒数」回のハートビートメッセージが連続して受信されなかったことになります。

例

次の例では、クラスタコマンドスイッチでハートビート間隔のタイマーおよび期間を変更する方法を示します。

Switch(config)# cluster timer 3

Switch(config)# cluster holdtime 30

設定を確認するには、 show cluster 特権 EXEC コマンドを入力します。

define interface-range

インターフェイス範囲マクロを作成するには、 define interface-range グローバルコンフィギュレーションコマンドを使用します。定義されたマクロを削除するには、このコマンドの no 形式を使用します。

define interface-range macro-name interface-range

no define interface-range macro-name interface-range

シンタックスの説明

macro-name	インターフェイス範囲マクロの名前（最大 32 文字）
interface-range	インターフェイス範囲です。インターフェイス範囲の有効値については、「使用上のガイドライン」を参照してください。

デフォルト

このコマンドにはデフォルト設定はありません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

マクロ名は、最大 32 文字の文字列です。

マクロには、最大 5 つの範囲を含めることができます。

1 つの範囲内ではすべてのインターフェイスが同じタイプ、つまり、すべてがファストイーサネットポート、すべてがギガビットイーサネットポート、すべてが EtherChannel ポート、またはすべてが VLAN のいずれかでなければなりません。ただし、マクロ内では複数のインターフェイスタイプを組み合わせることができます。

interface-range を入力する場合は、次のフォーマットを使用します。

• type { first-interface } - { last-interface }

• interface-range を入力するときは、最初のインターフェイス番号とハイフンの間にスペースを入れます。たとえば、 gigabitethernet 01/1 - 2 であれば範囲は指定されますが、 gigabit ethernet 01/1 -2 では指定されません。

type および interface の有効値は次のとおりです。

• vlan vlan-id - vlan-id （vlan-id の範囲は 1 ～ 4094）

VLAN インターフェイスは、 interface vlan コマンドで設定してください（ show running-config 特権 EXEC コマンドは、設定された VLAN インターフェイスを表示します）。 show running-config コマンドで表示されない VLAN インターフェイスは、 interface-range では使用できません。

• port-channel port-channel-number 、ここで、 port-channel-number は 1 ～ 6 です。

• fastethernet module/{ first port } - { last port }

• gigabitethernet module/{ first port } - { last port }

物理インターフェイス

• モジュールは常に 0 です。

• 使用可能範囲は、type 0number/number - number です（例： gigabitethernet 01/1 - 2）。

範囲を定義するときは、ハイフン（-）の前にスペースが必要です。次に例を示します。

gigabitethernet01/1 - 2

複数の範囲を入力することもできます。複数の範囲を定義するときは、最初のエントリとカンマ（,）の間にスペースが必要です。カンマのあとのスペースは任意になります。次に例を示します。

fastethernet01/3, gigabitethernet 01/1 - 2

fastethernet01/3 -4, gigabitethernet 01/1 - 2

例

次の例では、複数のインターフェイスマクロを作成する方法を示します。

Switch(config)# define interface-range macro1 fastethernet1/1 - 2, gigabitethernet1/1 - 2

delete

フラッシュメモリデバイス上のファイルまたはディレクトリを削除するには、 delete 特権 EXEC コマンドを使用します。

delete [ /force ] [/ recursive ] filesystem :/ file-url

シンタックスの説明

/force	（任意）削除を確認するプロンプトを抑制します。
/recursive	（任意）指定されたディレクトリ、そのディレクトリに含まれるすべてのサブディレクトリ、およびファイルを削除します。
filesystem :	フラッシュファイルシステムのエイリアスです。ローカルフラッシュファイルシステムの構文 flash:
/ file-url	削除するパス（ディレクトリ）およびファイル名

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

/force キーワードを使用すると、削除プロセスの最初に 1 回だけ削除の確認を要求するプロンプトが表示されます。

/force キーワードを指定せずに /recursive キーワードを使用すると、ファイルごとに削除の確認を要求するプロンプトが表示されます。

プロンプト動作は、 file prompt グローバルコンフィギュレーションコマンドの設定によって異なります。デフォルトでは、スイッチは、破壊的なファイル操作に関する確認をプロンプトで要求します。このコマンドの詳細については、『 Cisco IOS Command Reference 』Release 12.1 を参照してください。

例

次の例では、新しいイメージのダウンロードが正常に終了したあとに、古いソフトウェアイメージを含むディレクトリを削除する方法を示します。

Switch# delete /force /recursive flash:/old-image

ディレクトリが削除されたかどうかを確認するには、 dir filesystem : 特権 EXEC コマンドを入力します。

deny (ARP access-list configuration)

DHCP バインディングとの照合に基づいてアドレス解決プロトコル（ARP）パケットを拒否するには、 deny ARP アクセスリストコンフィギュレーションコマンドを使用します。アクセスリストから指定されたアクセスコントロールエントリ（ACE）を削除するには、このコマンドの no 形式を使用します。

deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]

no deny {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]

シンタックスの説明

request	（任意）ARP 要求との一致を定義します。request を指定しない場合は、すべての ARP パケットに対して照合が行われます。
ip	送信元 IP アドレスを指定します。
any	任意の IP アドレスまたは MAC アドレスを拒否します。
host sender-ip	指定された送信元 IP アドレスを拒否します。
sender-ip sender-ip-mask	指定された範囲の送信元 IP アドレスを拒否します。
mac	送信元 MAC アドレスを拒否します。
host sender-mac	指定された送信元 MAC アドレスを拒否します。
sender-mac sender-mac-mask	指定された範囲の送信元 MAC アドレスを拒否します。
response ip	ARP 応答の IP アドレス値を定義します。
host target-ip	指定された宛先 IP アドレスを拒否します。
target-ip target-ip-mask	指定された範囲の宛先 IP アドレスを拒否します。
mac	ARP 応答の MAC アドレス値を拒否します。
host target-mac	指定された宛先 MAC アドレスを拒否します。
target-mac target-mac-mask	指定された範囲の宛先 MAC アドレスを拒否します。
log	（任意）ACE と一致するパケットを記録します。

デフォルト

デフォルト設定はありません。ただし、ARP アクセスリストの末尾に暗黙的な deny ip any mac any コマンドが指定されています。

コマンドモード

ARP アクセスリストコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

deny 句を追加すると、一致条件に基づいて ARP パケットをドロップできます。

例

次の例では、ARP アクセスリストを定義し、IP アドレスが 1.1.1.1 で MAC アドレスが 0000.0000.abcd のホストからの ARP 要求と ARP 応答の両方を拒否する方法を示します。

Switch(config)# arp access-list static-hosts

Switch(config-arp-nacl)# deny ip host 1.1.1.1 mac host 0000.0000.abcd

Switch(config-arp-nacl)# end

設定を確認するには、 show arp access-list 特権 EXEC コマンドを入力します。

deny (IPv6 access-list configuration)

Ipv6 アクセスリストに拒否条件を設定するには、Ipv6 アクセスリストコンフィギュレーションモードで deny コマンドを使用します。拒否条件を削除するには、このコマンドの no 形式を使用します。

deny { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]

no deny { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]

Internet Control Message Protocol（ICMP; インターネット制御メッセージプロトコル）

deny icmp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ icmp-type [ icmp-code ] | icmp-message ] [ dscp value ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]

Transmission Control Protocol（TCP; 伝送制御プロトコル）

deny tcp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ ack ] [ dscp value ] [ established ] [ fin ] [ log ] [ log-input ] [ neq { port | protocol }] [ psh ] [ range { port | protocol }] [ rst ] [ sequence value ] [ syn ] [ time-range name ] [ urg ]

User Datagram Protocol（UDP; ユーザデータグラムプロトコル）

deny udp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ log ] [ log-input ] [ neq { port | protocol }] [ range { port | protocol }] [ sequence value ] [ time-range name ]

シンタックスの説明

protocol	インターネットプロトコルの名前または番号。 ahp 、 esp 、 icmp 、 ipv6 、 pcp 、 sctp 、 tcp 、または udp キーワードの 1 つ、あるいは IPv6 プロトコル番号を示す 0 ～ 255 の範囲の整数にすることができます。
source-ipv6-prefix / prefix-length	拒否条件を設定する送信元 IPv6 ネットワークまたはネットワークのクラス。この引数には RFC2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。（注） CLI ヘルプでは /0 ～ /128 のプレフィクス長が表示されますが、スイッチは集約可能なグローバルユニキャストおよびリンクローカルホストアドレスの /0 ～ /64 のプレフィクス、および Extended Universal Identifier（EUI）ベースの /128 プレフィクスに対してのみ IPv6 アドレス照合をサポートします。
any	IPv6 プレフィクス ::/0 の省略形
host source-ipv6-address	拒否条件を設定する送信元 IPv6 ホストアドレス。この source-ipv6-address 引数には RFC 2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。
operator [ port-number ]	（任意）指定のプロトコルの送信元または宛先ポートを比較する演算子を指定します。演算子は、 lt （less than：未満）、 gt （greater than：より大きい）、 eq （equal：一致）、 neq （not equal：不一致）、 range （inclusive range：包含範囲）です。 source-ipv6-prefix / prefix-length 引数の後ろに演算子が置かれた場合、送信元ポートと一致する必要があります。 destination-ipv6-prefix/prefix-length 引数の後ろに演算子が置かれた場合、宛先ポートと一致する必要があります。 range 演算子には 2 つのポート番号が必要です。他の演算子は 1 つのポート番号が必要です。任意の port-number 引数は 10 進数、または TCP あるいは UDP ポートの名前です。ポート番号の範囲は 0 ～ 65535 です。TCP ポート名は TCP をフィルタリングする場合にだけ使用できます。UDP ポート名は UDP をフィルタリングする場合にのみ使用できます。
destination-ipv6-prefix / prefix-length	拒否条件を設定する宛先 IPv6 ネットワークまたはネットワークのクラス。この引数には RFC2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。（注） CLI ヘルプでは /0 ～ /128 のプレフィクス長が表示されますが、スイッチは集約可能なグローバルユニキャストおよびリンクローカルホストアドレスの /0 ～ /64 のプレフィクス、および EUI ベースの /128 プレフィクスに対してのみ IPv6 アドレス照合をサポートします。
host destination-ipv6-address	拒否条件を設定する宛先 IPv6 ホストアドレス。この destination-ipv6-address 引数には RFC 2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。
dscp value	（任意）各 IPv6 パケットヘッダーのトラフィッククラスフィールドのトラフィッククラス値と DiffServ コードポイント（DSCP）値を照合します。指定できる範囲は 0 ～ 63 です。
fragments	（任意）フラグメント拡張ヘッダーに 0 以外のフラグメントオフセットが含まれる場合、非初期フラグメントパケットを照合します。 fragments キーワードは、プロトコルが ipv6 で operator [ port-number ] 引数が指定されていない場合にのみ、任意で指定できます。
log	（任意）エントリと一致するパケットに関する情報ロギングメッセージをコンソールに送信します（コンソールに送信するメッセージレベルは logging console コマンドで制御します）。メッセージには、アクセスリスト名、シーケンス番号、パケットが拒否されたかどうか、プロトコル（TCP、UDP、ICMP または番号のいずれか）、適正な場合には送信元/宛先アドレス、送信元/宛先ポート番号が含まれます。メッセージは、一致した最初のパケットに対して生成され、その後、5 分間隔で拒否されたパケット数を含めて生成されます。（注）ロギングはポート ACL ではサポートされません。
log-input	（任意） log キーワードと同じ機能を提供します（ただし、ロギングメッセージには受信インターフェイスも表示されます）。
sequence value	（任意）アクセスリストステートメントのシーケンス番号を指定します。指定できる範囲は 1 ～ 4294967295 です。
time-range name	（任意）拒否ステートメントに適用する時間範囲を指定します。時間範囲の名前と制限事項は、 time-range コマンドと、 absolute または periodic コマンドによってそれぞれ指定します。
icmp-type	（任意）ICMP パケットのフィルタリングに ICMP メッセージタイプを指定します。ICMP パケットは ICMP メッセージタイプによってフィルタリングできます。メッセージタイプの番号は 0 ～ 255 です。
icmp-code	（任意）ICMP パケットのフィルタリングに ICMP メッセージコードを指定します。ICMP メッセージタイプによってフィルタリングされる ICMP パケットは、ICMP メッセージコードによってもフィルタリングできます。メッセージコードの番号は 0 ～ 255 です。
icmp-message	（任意）ICMP パケットのフィルタリングに ICMP メッセージ名を指定します。ICMP パケットは、ICMP メッセージ名、または ICMP メッセージタイプおよびコードによってフィルタリングできます。使用可能な名前については、「使用上のガイドライン」を参照してください。
ack	（任意）TCP プロトコル専用：ACK ビット設定。
established	（任意）TCP プロトコル専用：これは接続が確立されていることを意味します。TCP データグラムに ACK または RST ビットが設定されている場合、照合が行われます。接続するための初期 TCP データグラムの場合は照合しません。
fin	（任意）TCP プロトコル専用：FIN ビット設定。送信元からのデータはこれ以上ありません。
neq { port \| protocol }	（任意）指定のポート番号上にないパケットのみを照合します。
psh	（任意）TCP プロトコル専用：PSH ビット設定。
range { port \| protocol }	（任意）ポート番号範囲のパケットのみを照合します。
rst	（任意）TCP プロトコル専用：RST ビット設定。
syn	（任意）TCP プロトコル専用：SYN ビット設定。
urg	（任意）TCP プロトコル専用：URG ビット設定。

（注） flow-label, routing および undetermined-transport キーワードはコマンドラインのヘルプストリングに表示されますが、サポートされていません。

デフォルト

IPv6 アクセスリストは定義されていません。

コマンドモード

IPv6 アクセスリストコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

deny （IPv6 アクセスリストコンフィギュレーションモード）コマンドは、IPv6 固有である点を除き、 deny （IPv4 アクセスリストコンフィギュレーションモード）コマンドと類似しています。

IPv6 アクセスリストコンフィギュレーションモードを開始し、パケットがアクセスリストを通過する条件を定義するには、 ipv6 access-list コマンドの後ろに deny （IPv6）コマンドを使用します。

protocol 引数に IPv6 を指定すると、パケットの IPv6 ヘッダーに対して照合を行います。

デフォルトでは、アクセスリストの最初のステートメントは 10 で、その次のステートメントからは 10 ずつ増加します。

リスト全体を再入力しないで、 permit 、 deny 、または remark ステートメントを既存のアクセスリストに追加できます。リストの最後以外の場所に新しいステートメントを追加するには、挿入する場所を示す、既存の 2 つのエントリ番号の間にある適切なエントリ番号を持った新しいステートメントを作成します。

（注）各 IPv6 ACL には最後の一致条件として、暗黙の permit icmp any any nd-na、permit icmp any any nd-ns、および deny ipv6 any any ステートメントがあります。このうち 2 つの permit 条件は、ICMPv6 近隣探索を許可します。ICMPv6 近隣探索を許可しないで icmp any any nd-na または icmp any any nd-ns を拒否するには、明示的な拒否エントリが ACL 内にある必要があります。暗黙的な deny ipv6 any any ステートメントを有効にするには、IPv6 ACL に 1 つまたは複数のエントリを含める必要があります。

IPv6 近隣探索プロセスでは、IPv6 ネットワークレイヤサービスを使用します。したがって、デフォルトでは IPv6 ACL により、IPv6 近隣探索パケットのインターフェイス上での送受信が暗黙に許可されます。IPv4 では、IPv6 近隣探査プロセスと同等のアドレス解決プロトコル（ARP）は、別のデータリンクレイヤプロトコルを使用します。したがってデフォルトでは、IPv4 ACL により、ARP パケットのインターフェイス上での送受信が暗黙に許可されます。

source-ipv6-prefix / prefix-length と destination-ipv6-prefix / prefix-length の両方の引数をトラフィックフィルタリングに使用します（送信元プレフィクスはトラフィックの送信元に基づいて、宛先プレフィクスはトラフィックの宛先に基づいてトラフィックをフィルタリングします）。

スイッチは集約可能なグローバルユニキャストおよびリンクローカルホストアドレスの /0 ～ /64 のプレフィクスと EUI ベースの /128 プレフィクスのみをサポートします。

fragments キーワードは、プロトコルが ipv6 で operator [ port-number ] 引数が指定されていない場合にのみ、任意で指定できます。

次に、ICMP メッセージ名を示します。

beyond-scope	destination-unreachable
echo-reply	echo-request
header	hop-limit
mld-query	mld-reduction
mld-report	nd-na
nd-ns	next-header
no-admin	no-route
packet-too-big	parameter-option
parameter-problem	port-unreachable
reassembly-timeout	renum-command
renum-result	renum-seq-number
router-advertisement	router-renumbering
router-solicitation	time-exceeded
unreachable

例

次の例では、CISCO という名の IPv6 アクセスリストを設定し、そのアクセスリストをレイヤ 3 インターフェイス上の発信トラフィックに適用する方法を示します。リストの最初の拒否エントリは、5000 より大きい宛先 TCP ポート番号を持ったパケットすべてがインターフェイスで送信されるのを防ぎます。リストの 2 番目の拒否エントリは、5000 未満の送信元 UDP ポート番号を持ったパケットすべてがインターフェイスで送信されるのを防ぎます。また、この 2 番目の拒否エントリは、すべての一致をコンソールに表示します。リストの最初の許可エントリは、すべての ICMP パケットのインターフェイスでの送信を許可します。リストの 2 番目の許可エントリは、その他すべてのトラフィックのインターフェイスでの送信を許可します。すべてのパケットを拒否する暗黙の条件が各 IPv6 アクセスリストの末尾にあるので、この 2 番目の許可エントリが必要となります。

Switch(config)# ipv6 access-list CISCO

Switch(config-ipv6-acl)# deny tcp any any gt 5000

Switch config-ipv6-acl)# deny ::/0 lt 5000 ::/0 log

Switch(config-ipv6-acl)# permit icmp any any

Switch(config-ipv6-acl)# permit any any

Switch(config-ipv6-acl)# exit

Switch(config)# interface gigabitethernet1/3

Switch(config-if)# no switchport

Switch(config-if)# ipv6 address 2001::/64 eui-64

Switch(config-if)# ipv6 traffic-filter CISCO out

deny (MAC access-list configuration)

条件が一致した場合に、非 IP トラフィックの転送を回避するには、 deny MAC アクセスリストコンフィギュレーションコマンドを使用します。拒否条件を名前付き MAC アクセスリストから削除するには、このコマンドの no 形式を使用します。

{ deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask |mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]

no { deny | permit } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | aarp | amber | cos cos | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]

シンタックスの説明

any	あらゆる送信元または宛先 MAC アドレスを拒否するために指定するキーワードです。
host src MAC-addr \| src-MAC-addr mask	ホスト MAC アドレスと任意のサブネットマスクを定義します。パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非 IP トラフィックは拒否されます。
host dst-MAC-addr \| dst-MAC-addr mask	宛先 MAC アドレスと任意のサブネットマスクを定義します。パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非 IP トラフィックは拒否されます。
type mask	（任意）パケットの Ethertype 番号と、Ethernet II または Subnetwork Access Protocol（SNAP）カプセル化を使用して、パケットのプロトコルを識別します。 type には、0 ～ 65535 の 16 進数を指定できます。 mask は、マッチングを行う前に Ethertype に適用される don’t care ビットのマスクです。
aarp	（任意）データリンクアドレスをネットワークアドレスにマッピングする Ethertype AppleTalk Address Resolution Protocol を選択します。
amber	（任意）EtherType DEC-Amber を選択します。
cos cos	（任意）プライオリティを設定するため、0 ～ 7 までの Class of Service（CoS; サービスクラス）値を選択します。CoS に基づくフィルタリングは、ハードウェアでのみ実行可能です。 cos オプションが設定されているかどうかを確認する警告メッセージが表示されます。
dec-spanning	（任意）EtherType Digital Equipment Corporation（DEC）スパニングツリーを選択します。
decnet-iv	（任意）EtherType DECnet Phase IV プロトコルを選択します。
diagnostic	（任意）EtherType DEC-Diagnostic を選択します。
dsm	（任意）EtherType DEC-DSM を選択します。
etype-6000	（任意）EtherType 0x6000 を選択します。
etype-8042	（任意）EtherType 0x8042 を選択します。
lat	（任意）EtherType DEC-LAT を選択します。
lavc-sca	（任意）EtherType DEC-LAVC-SCA を選択します。
lsap lsap-number mask	（任意）パケットの LSAP 番号（0 ～ 65535）と 802.2 カプセル化を使用して、パケットのプロトコルを識別します。 mask は、マッチングを行う前に LSAP 番号に適用される don’t care ビットのマスクです。
mop-console	（任意）EtherType DEC-MOP Remote Console を選択します。
mop-dump	（任意）EtherType DEC-MOP Dump を選択します。
msdos	（任意）EtherType DEC-MSDOS を選択します。
mumps	（任意）EtherType DEC-MUMPS を選択します。
netbios	（任意）EtherType DEC-Network Basic Input/Output System（NETBIOS）を選択します。
vines-echo	（任意）Banyan Systems による EtherType Virtual Integrated Network Service（VINES）を選択します。
vines-ip	（任意）EtherType VINES IP を選択します。
xns-idp	（任意）10 進数、16 進数、または 8 進数の任意の Ethertype である EtherType Xerox Network Systems（XNS）プロトコルスイート（0 ～ 65535）を選択します。

（注） appletalk は、コマンドラインのヘルプストリングには表示されますが、一致条件としてはサポートされていません。

IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、 type mask または lsap lsap mask キーワードを使用します。表 2-5 に、Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を一覧表示します。

表 2-5 IPX フィルタ基準
IPX カプセル化タイプ		フィルタ基準
Cisco IOS 名	Novel 名	フィルタ基準
arpa	Ethernet II	Ethertype 0x8137
snap	Ethernet-snap	Ethertype 0x8137
sap	Ethernet 802.2	LSAP 0xE0E0
novell-ether	Ethernet 802.3	LSAP 0xFFFF

デフォルト

このコマンドには、デフォルトはありません。ただし、名前付き MAC ACL のデフォルトアクションは拒否です。

コマンドモード

MAC アクセスリストコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

mac access-list extended グローバルコンフィギュレーションコマンドを使用して、MAC アクセスリストコンフィギュレーションモードを開始します。

host キーワードを使用した場合、アドレスマスクは入力できません。 host キーワードを使用しない場合は、アドレスマスクを入力する必要があります。

アクセスコントロールエントリ（ACE）が ACL に追加された場合、リストの最後には暗黙の deny - any - any 条件が存在します。つまり、一致がない場合にはパケットは拒否されます。ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。

名前付き MAC 拡張アクセスリストの詳細については、このリリースに対応するソフトウェアコンフィギュレーションガイドを参照してください。

例

次の例では、すべての送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを拒否する名前付き MAC 拡張アクセスリストを定義する方法を示します。このリストに一致するトラフィックは拒否されます。

Switch(config-ext-macl)# deny any host 00c0.00a0.03fa netbios.

次の例では、名前付き MAC 拡張アクセスリストから拒否条件を削除する方法を示します。

Switch(config-ext-macl)# no deny any 00c0.00a0.03fa 0000.0000.0000 netbios.

次の例では、Ethertype 0x4321 のすべてのパケットを拒否します。

Switch(config-ext-macl)# deny any any 0x4321 0

設定を確認するには、 show access-lists 特権 EXEC コマンドを入力します。

dot1x

IEEE 802.1x 認証をグローバルにイネーブルにするには、 dot1x グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x { critical { eapol | recovery delay milliseconds } | { guest-vlan supplicant } | system-auth-control }

no dot1x { critical { eapol | recovery delay } | { guest-vlan supplicant } | system-auth-control }

（注） credentials name キーワードは、コマンドラインのヘルプストリングには表示されますが、サポートされていません。

シンタックスの説明

critical { eapol \| recovery delay milliseconds }	アクセス不能な認証バイパスパラメータを設定します。詳細については、 dot1x critical (global configuration) コマンドを参照してください。
guest-vlan supplicant	スイッチで任意のゲスト VLAN 動作をグローバルにイネーブルにします。
system-auth-control	スイッチで IEEE 802.1x 認証をグローバルにイネーブルにします。

デフォルト

IEEE 802.1x 認証はディセーブルです。任意のゲスト VLAN 動作はディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

IEEE 802.1x 認証をグローバルにイネーブルにする前に、認証、許可、アカウンティング（AAA）をイネーブルにし、認証方式リストを指定する必要があります。方式リストには、ユーザの認証に使用する順序と認証方式が記述されています。

スイッチの IEEE 802.1x 認証をグローバルにイネーブルにする前に、IEEE 802.1x 認証および EtherChannel が設定されているインターフェイスから EtherChannel の設定を削除します。

EAP-Transparent LAN Service（TLS; 透過型 LAN サービス）および EAP-MD5 で IEEE 802.1x を認証する Cisco Access Control Server（ACS）アプリケーションが稼動する装置を使用している場合、装置が ACS バージョン 3.2.1 以降で稼動していることを確認します。

スイッチで任意の IEEE 802.1x ゲスト VLAN 動作をグローバルにイネーブルにするには、 guest-vlan supplicant キーワードを使用できます。詳細については、 dot1x guest-vlan コマンドを参照してください。

例

次の例では、スイッチで IEEE 802.1x 認証をグローバルにイネーブルにする方法を示します。

Switch(config)# dot1x system-auth-control

次の例では、スイッチで任意のゲスト VLAN 動作をグローバルにイネーブルにする方法を示します。

Switch(config)# dot1x guest-vlan supplicant

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

dot1x auth-fail max-attempts

ポートが制限 VLAN に移行するまで許容できる最大認証試行回数を設定するには、 dot1x auth-fail max-attempts インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x auth-fail max-attempts max-attempts

no dot1x auth-fail max-attempts

シンタックスの説明

max-attempts

ポートが制限 VLAN に移行するまでに許容される最大の認証試行回数を指定します。指定できる範囲は 1 ～ 3 です。デフォルト値は 3 です。

デフォルト

デフォルト値は 3 回です。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

VLAN で許容される最大の認証試行回数を再設定する場合、変更内容は再認証タイマーが期限切れになったあとで反映されます。

例

次の例では、ポート 3 の制限 VLAN にポートが移行する前に許容される最大の認証試行回数を 2 に設定する方法を示します。

Switch# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# interface gigabitethernet1/3

Switch(config-if)# dot1x auth-fail max-attempts 2

Switch(config-if)# end

Switch(config)# end

Switch#

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

dot1x auth-fail vlan

ポートで制限 VLAN をイネーブルにするには、 dot1x auth-fail vlan インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x auth-fail vlan vlan-id

no dot1x auth-fail v lan

シンタックスの説明

vlan-id

VLAN を 1 ～ 4094 の範囲で指定します。

デフォルト

制限 VLAN は設定されていません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

次のように設定されたポートで制限 VLAN を設定できます。

• シングルホスト（デフォルト）モード

• 認証用 auto モード

再認証をイネーブルにする必要があります。ディセーブルになっていると、制限 VLAN のポートは再認証要求を受け取りません。再認証プロセスを開始するには、制限 VLAN がポートからリンクダウンイベントまたは Extensible Authentication Protocol（EAP）ログオフイベントを受け取る必要があります。ホストがハブを介して接続されている場合、ホストが切断されているとポートがリンクダウンイベントを受け取ることができず、次の再認証試行が行われるまで新しいホストが検出されないことがあります。

サプリカントが認証に失敗すると、ポートは制限 VLAN に移行し、EAP 認証成功 メッセージがサプリカントに送信されます。サプリカントには実際の認証失敗が通知されないため、この制限ネットワークアクセスに混乱が生じることがあります。EAP の成功メッセージは、次の理由で送信されます。

• EAP の成功メッセージが送信されない場合、サプリカントは 60 秒ごと（デフォルト）に EAP 開始メッセージを送信して認証を行おうとします。

• 一部のホスト（たとえば、Windows XP を実行中のデバイス）は、EAP の成功メッセージを受け取るまで Dynamic Host Configuration Protocol（DHCP）を実行できません。

サプリカントは、認証から EAP 成功メッセージを受け取ったあとに不正なユーザ名とパスワードの組み合わせをキャッシュし、再認証のたびにその情報を使用する可能性があります。サプリカントが正しいユーザ名とパスワードの組み合わせを送信するまで、ポートは制限 VLAN のままになります。

レイヤ 3 ポートに使用する内部 VLAN は、制限 VLAN として設定することはできません。

VLAN を制限 VLAN と音声 VLAN の両方に設定することはできません。そのように設定すると、syslog メッセージが生成されます。

制限 VLAN ポートが無許可ステートに移行すると、認証プロセスが再起動されます。サプリカントが再度認証プロセスに失敗すると、認証は保持ステートで待機します。サプリカントが正常に再認証されたあと、すべての IEEE 802.1x ポートが再初期化され、通常の IEEE 802.1x ポートとして扱われます。

制限 VLAN を異なる VLAN として再設定すると、制限 VLAN のポートも移行し、そのポートは現在認証されたステートのままになります。

制限 VLAN をシャットダウンするか VLAN データベースから削除すると、制限 VLAN のポートはただちに無許可ステートに移行し、認証プロセスが再起動します。制限 VLAN 設定がまだ存在するため、認証は保持ステートで待機しません。制限 VLAN が非アクティブである間も、制限 VLAN がアクティブになったときにポートがただちに制限 VLAN になるように、すべての認証試行がカウントされます。

制限 VLAN は、シングルホストモード（デフォルトのポートモード）でのみサポートされます。このため、ポートが制限 VLAN に配置されると、サプリカントの MAC アドレスが MAC アドレステーブルに追加され、ポートに表示される他の MAC アドレスがセキュリティ違反として扱われます。

例

次の例では、ポート 1 で制限 VLAN を設定する方法を示します。

Switch# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# interface gigabitethernet1/3

Switch(config-if)# dot1x auth-fail vlan 40

Switch(config-if)# end

Switch#

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

dot1x control-direction

Wake-on-LAN（WoL）機能を搭載した IEEE 802.1x 認証をイネーブルにし、ポート制御を単一方向または双方向に設定するには、 dot1x control-direction インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x control-direction { both | in }

no dot1x control-direction

シンタックスの説明

both	ポートの双方向制御をイネーブルにします。ポートは、ホストにパケットを送受信できません。
in	ポートの単一方向制御をイネーブルにします。ポートは、ホストにパケットを送信できますが、受信はできません。

デフォルト

ポートは双方向モードに設定されています。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

デフォルト設定の双方向モードに戻すには、このコマンドの both キーワードまたは no 形式を使用します。

WoL の詳細については、ソフトウェアコンフィギュレーションガイドの「Configuring IEEE802.1x Port-Based Authentication」の章の「Using IEEE 802.1x Authentication with Wake-on-LAN」を参照してください。

例

次の例では、単一方向制御をイネーブルにする方法を示します。

Switch(config-if)# dot1x control-direction in

次の例では、双方向制御をイネーブルにする方法を示します。

Switch(config-if)# dot1x control-direction both

設定を確認するには、 show dot1x all 特権 EXEC コマンドを入力します。

show dot1x all 特権 EXEC コマンド出力は、ポート名とポートのステートを除き、すべてのスイッチで同一です。ホストがポートに接続されていてまだ認証されていない場合、次のように表示されます。

Supplicant MAC 0002.b39a.9275

AuthSM State = CONNECTING

BendSM State = IDLE

PortStatus = UNAUTHORIZED

dot1x control-direction in インターフェイスコンフィギュレーションコマンドを入力して単一方向制御をイネーブルにする場合、これが show dot1x all コマンド出力で次のように表示されます。

ControlDirection = In

dot1x control-direction in インターフェイスコンフィギュレーションコマンドを入力しても、設定の競合によりポートでこのモードをサポートできない場合、 show dot1x all コマンド出力で次のように表示されます。

ControlDirection = In (Disabled due to port settings)

dot1x credentials (global configuration)

サプリカントスイッチにプロファイルを設定するには、dot1x credentials グローバルコンフィギュレーションコマンドを使用します。

dot1x credentials profile

no dot1x credentials profile

シンタックスの説明

profile

サプリカントスイッチのプロファイルを指定します。

デフォルト

スイッチのプロファイルは設定されません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

このスイッチをサプリカントにするには、別のスイッチをオーセンティケータとして設定する必要があります。

例

次の例では、スイッチをサプリカントとして設定する方法を示します。

Switch(config)# dot1x credentials profile

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

dot1x critical (global configuration)

アクセス不能な認証バイパス機能（クリティカル認証または認証、許可、アカウンティング [AAA] 失敗ポリシーとも言う）のパラメータを設定するには、 dot1x critical グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x critical { eapol | recovery delay milliseconds }

no dot1x critical { eapol | recovery delay }

シンタックスの説明

eapol	スイッチによりクリティカルなポートが critical-authentication ステートに置かれた場合、EAPOL-Success メッセージを送信するようスイッチを指定します。
recovery delay milliseconds	リカバリ遅延期間（ミリ秒）を指定します。指定できる範囲は 1 ～ 10000 ミリ秒です。

デフォルト

クリティカルなポートを critical-authentication ステートに置くことによって認証に成功した場合に、スイッチは EAPOL-Success メッセージをホストに送信しません。

リカバリ遅延期間は、1000 ミリ秒（1 秒）です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

クリティカルなポートが critical-authentication ステートに置かれた場合、スイッチが EAPOL-Success メッセージを送信するよう指定するには、 eapol キーワードを使用します。

使用不能な RADIUS サーバが使用可能になった場合に、スイッチがクリティカルなポートを再初期化するために待機するリカバリ遅延期間を設定するには、 recovery delay milliseconds キーワードを使用します。デフォルトのリカバリ遅延期間は 1000 ミリ秒です。ポートは、秒単位で再初期化できます。

アクセス不能な認証バイパスをポート上でイネーブルにするには、 dot1x critical インターフェイスコンフィギュレーションコマンドを使用します。スイッチがクリティカルなポートに割り当てるアクセス VLAN を設定するには、 dot1x critical vlan vlan-id インターフェイスコンフィギュレーションコマンドを使用します。

例

次の例では、リカバリ遅延期間として 200 をスイッチに設定する方法を示します。

Switch# dot1x critical recovery delay 200

設定を確認するには、 show dot1x 特権 EXEC コマンドを入力します。

dot1x critical (interface configuration)

アクセス不能な認証バイパス機能（クリティカル認証または認証、許可、アカウンティング [AAA] 失敗ポリシーとも言う）をイネーブルにするには、 dot1x critical インターフェイスコンフィギュレーションコマンドを使用します。ポートが critical-authentication ステートに置かれた場合に、スイッチがクリティカルなポートに割り当てるアクセス VLAN を設定することもできます。この機能をディセーブルにするか、またはデフォルトに戻すには、このコマンドの no 形式を使用します。

dot1x critical [ recovery action reinitialize | vlan vlan-id ]

no dot1x critical [ recovery | vlan ]

シンタックスの説明

recovery action reinitialize	アクセス不能な認証バイパスのリカバリ機能をイネーブルにし、認証サーバが使用可能になった場合にリカバリアクションによりポートを認証するよう指定します。
vlan vlan-id	スイッチがクリティカルなポートに割り当てることのできるアクセス VLAN を指定します。指定できる範囲は 1 ～ 4094 です。

デフォルト

アクセス不能認証バイパス機能はディセーブルです。

リカバリアクションは設定されていません。

アクセス VLAN は設定されていません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

ポートが critical-authentication ステートに置かれた場合にスイッチがクリティカルなポートに割り当てるアクセス VLAN を指定するには、 vlan vlan-id キーワードを使用します。指定された VLAN タイプは、次のポートタイプに適合している必要があります。

• クリティカルなポートがアクセスポートの場合、VLAN はアクセス VLAN でなければなりません。

• クリティカルなポートがプライベート VLAN のホストポートである場合、VLAN はセカンダリプライベート VLAN でなければなりません。

• クリティカルなポートがルーテッドポートの場合、VLAN を指定できます（指定は任意）。

クライアントで Windows XP を稼動し、クライアントが接続されているクリティカルポートが critical-authentication ステートである場合、Windows XP はインターフェイスが認証されていないことをレポートします。

Windows XP クライアントで DHCP が設定され、DHCP サーバからの IP アドレスがある場合、クリティカルポートで EAP 認証成功メッセージを受信しても DHCP 設定プロセスを再初期化しません。

アクセス不能認証バイパス機能および制限 VLAN を IEEE802.1x ポート上に設定できます。スイッチが制限付き VLAN でクリティカルポートの再認証を試行し、RADIUS サーバがすべて使用できない場合、ポートの状態はクリティカル認証ステートに移行し、ポートは制限付き VLAN のままとなります。

アクセス不能認証バイパス機能とポートセキュリティは、同じスイッチポートに設定できます。

例

次の例では、アクセス不能認証バイパス機能をポート上でイネーブルにする方法を示します。

Switch# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# interface gigabitethernet1/3

Switch(config-if)# dot1x critical

Switch(config-if)# end

Switch(config)# end

Switch#

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

dot1x default

IEEE 802.1x パラメータをデフォルト値に戻すには、 dot1x default インターフェイスコンフィギュレーションコマンドを使用します。

dot1x default

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルト値は次のとおりです。

• ポート単位の IEEE 802.1x プロトコルのイネーブルステートはディセーブルです（force-authorized）。

• 再認証の試行間隔の秒数は 3600 秒です。

• 定期的な再認証はディセーブルです。

• 待機時間は 60 秒です。

• 再伝送時間は 30 秒です。

• 最高再伝送回数は 2 回です。

• ホストモードはシングルホストです。

• クライアントのタイムアウト時間は 30 秒です。

• 認証サーバのタイムアウト時間は 30 秒です。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

例

次の例では、ポート上の IEEE 802.1x パラメータをリセットする方法を示します。

Switch(config-if)# dot1x default

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

dot1x fallback

IEEE 802.1x 認証をサポートしないクライアントに対し、Web 認証をフォールバック方式として使用するようにポートを設定するには、 dot1xfallback インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x fallback profile

no dot1x fallback

シンタックスの説明

profile

IEEE 802.1x 認証をサポートしていないクライアントのフォールバックプロファイルを指定します。

デフォルト

フォールバックはイネーブルではありません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドを入力する前に、スイッチで dot1x port-control auto インターフェイスコンフィギュレーションコマンドを入力する必要があります。

例

次の例では、IEEE 802.1x 認証用に設定されているスイッチポートにフォールバックプロファイルを指定する方法を示します。

Switch# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# interface gigabitethernet1/3

Switch(config-if)# dot1x fallback profile1

Switch(config-fallback-profile)# exit

Switch(config)# end

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

dot1x guest-vlan

アクティブな VLAN を IEEE 802.1x のゲスト VLAN として指定するには、 dot1x guest-vlan インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x guest-vlan vlan-id

no dot1x guest-vlan

シンタックスの説明

vlan-id

アクティブ VLAN を IEEE 802.1x ゲスト VLAN として指定します。指定できる範囲は 1 ～ 4094 です。

デフォルト

ゲスト VLAN は設定されません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

次のいずれかのスイッチポートにゲスト VLAN を設定できます。

• 非プライベート VLAN に属するスタティックアクセスポート

• セカンダリプライベート VLAN に属するプライベート VLAN ポート。スイッチポートに接続されるすべてのホストは、端末状態の妥当性の評価に成功したかどうかにかかわらず、プライベート VLAN に割り当てられます。スイッチが、スイッチのプライマリおよびセカンダリプライベート VLAN の対応付けを使用してプライマリプライベート VLAN を判別します。

スイッチの IEEE 802.1x ポートごとにゲスト VLAN を設定して、現在 IEEE 802.1x 認証を実行していないクライアント（スイッチに接続されているデバイスまたはワークステーション）へのサービスを制限できます。こうしたユーザは IEEE 802.1x 認証のためにシステムをアップグレードできますが、Windows 98 システムなどのホストでは IEEE 802.1x に対応できません。

IEEE 802.1x ポートでゲスト VLAN をイネーブルにした場合、認証サーバが Extensible Authentication Protocol over LAN（EAPOL）Request/Identity フレームに対する応答を受信しないと、あるいは EAPOL パケットがクライアントから送信されないと、スイッチではクライアントをゲスト VLAN に割り当てます。

スイッチは、EAPOL パケット履歴を保持します。リンクの存続時間内に別の EAPOL パケットがインターフェイス上で検出された場合、ゲスト VLAN 機能はディセーブルになります。ポートがすでにゲスト VLAN ステートにある場合、ポートは無許可ステートに戻り、認証が再開されます。EAPOL 履歴はリンクの損失でリセットされます。

スイッチポートがゲスト VLAN に移行すると、IEEE 802.1x 非対応クライアントはいくつでもアクセスが許可されます。IEEE 802.1x 対応クライアントが、ゲスト VLAN を設定しているポートと同じポートに加入すると、ポートは RADIUS 設定 VLAN またはユーザ設定アクセス VLAN では無許可ステートに移行し、認証が再開されます。

ゲスト VLAN は、シングルホストモードおよびマルチホストモードの IEEE 802.1x ポート上でサポートされます。

Remote Switched Port Analyzer（RSPAN）VLAN、プライマリプライベート VLAN、または音声 VLAN 以外のアクティブなすべての VLAN は、IEEE 802.1x のゲスト VLAN として設定できます。ゲスト VLAN の機能は、内部 VLAN（ルーテッドポート）またはトランクポート上ではサポートされません。サポートされるのはアクセスポートのみです。

DHCP クライアントが接続されている IEEE 802.1x ポートのゲスト VLAN を設定したあと、DHCP サーバからホスト IP アドレスを取得する必要があります。クライアント上の DHCP プロセスが時間切れとなり DHCP サーバからホスト IP アドレスを取得しようとする前に、スイッチ上の IEEE 802.1x 認証プロセスを再起動する設定を変更できます。IEEE 802.1x 認証プロセスの設定を減らします（ dot1x timeout quiet-period および dot1x timeout tx-period インターフェイスコンフィギュレーションコマンド）。設定の減少量は、接続された IEEE 802.1x クライアントのタイプによって異なります。

スイッチでは、 MAC 認証バイパス がサポートされます。MAC 認証バイパスは IEEE 802.1x ポートでイネーブルの場合、スイッチは、EAPOL メッセージ交換を待機している間に IEEE802.1x 認証が期限切れになると、クライアントの MAC アドレスに基づいてクライアントを許可できます。スイッチは、IEEE 802.1x ポート上のクライアントを検出したあとで、クライアントからのイーサネットパケットを待機します。スイッチは、MAC アドレスに基づいたユーザ名およびパスワードを持つ RADIUS-access/request フレームを認証サーバに送信します。認証に成功すると、スイッチはクライアントにネットワークへのアクセスを許可します。認証に失敗すると、スイッチはポートにゲスト VLAN を割り当てます（指定されていない場合）。詳細については、ソフトウェアコンフィギュレーションガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の「Using IEEE 802.1x Authentication with MAC Authentication Bypass」を参照してください。

例

次の例では、VLAN 5 を IEEE 802.1x ゲスト VLAN として指定する方法を示します。

Switch(config-if)# dot1x guest-vlan 5

次の例では、スイッチの待機時間を 3 秒に設定し、スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を 15 に設定する方法、および IEEE 802.1x ポートが DHCP クライアントに接続されているときに VLAN 2 を IEEE 802.1x ゲスト VLAN としてイネーブルにする方法を示します。

Switch(config-if)# dot1x timeout quiet-period 3

Switch(config-if)# dot1x timeout tx-period 15

Switch(config-if)# dot1x guest-vlan 2

次の例では、オプションのゲスト VLAN の動作をイネーブルにし、VLAN 5 を IEEE 802.1x ゲスト VLAN として指定する方法を示します。

Switch(config)# dot1x guest-vlan supplicant

Switch(config)# interface gigabitethernet1/3

Switch(config-if)# dot1x guest-vlan 5

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

dot1x host-mode

IEEE 802.1x 許可ポート上で単一のホスト（クライアント）または複数のホストを許可するには、 dot1x host-mode インターフェイスコンフィギュレーションコマンドを使用します。IEEE 802.1x 許可ポート上で Multidomain Authentication（MDA; マルチドメイン認証）をイネーブルにするには、multi-domain キーワードを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x host-mode { multi-host | single-host | multi-domain }

no dot1x host-mode [ multi-host | single-host | multi-domain }

シンタックスの説明

multi-host	スイッチ上でマルチホストモードをイネーブルにします。
single-host	スイッチ上でシングルホストモードをイネーブルにします。
multi-domain	スイッチポート上で MDA をイネーブルにします。

デフォルト

デフォルト設定は、single-host モードです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。
12.2(46)SE1	multi-domain キーワードが追加されました。

使用上のガイドライン

このコマンドを使用すると、IEEE 802.1x 対応ポートを単一のクライアントに限定したり、複数のクライアントを IEEE 802.1x 対応ポートに接続したりすることができます。マルチホストモードでは、接続されたホストのうち 1 つが許可されれば、すべてのホストのネットワークアクセスが許可されます。ポートが無許可ステートになった場合（再認証が失敗した場合、または Extensible Authentication Protocol over LAN [EAPOL]-Logoff メッセージを受信した場合）には、接続されたすべてのクライアントがネットワークアクセスを拒否されます。

ポート上で MDA をイネーブルにするには、multi-domain キーワードを使用します。MDA はポートをデータドメインと音声ドメインの両方に分割します。MDA により、データ装置と IP Phone などの音声装置（シスコ製品またはシスコ以外の製品）の両方が同じ IEEE 802.1x 対応ポート上で許可されます。

このコマンドを入力する前に、指定のポートで dot1x port-control インターフェイスコンフィギュレーションコマンドが auto に設定されていることを確認します。

例

次の例では、IEEE 802.1x 認証をグローバルにイネーブルにして、ポートの IEEE 802.1x 認証をイネーブルにし、マルチホストモードをイネーブルにする方法を示します。

Switch(config)# dot1x system-auth-control

Switch(config)# interface gigabitethernet1/3

Switch(config-if)# dot1x port-control auto

Switch(config-if)# dot1x host-mode multi-host

次の例では、IEEE 802.1x 認証をグローバルにイネーブルにし、IEEE 802.1x 認証をイネーブルにし、指定されたポートで MDA をイネーブルにする方法を示します。

Switch(config)# dot1x system-auth-control

Switch(config)# interface gigabitethernet1/3

Switch(config-if)# dot1x port-control auto

Switch(config-if)# dot1x host-mode multi-domain

設定を確認するには、 show dot1x [ interface interface-id] 特権 EXEC コマンドを入力します。

dot1x initialize

ポート上で新しく認証セッションを開始する前に、指定の IEEE 802.1x 対応ポートを手動で無許可ステートに戻すには、 dot1x initialize 特権 EXEC コマンドを使用します。

dot1x initialize [ interface interface-id ]

シンタックスの説明

interface interface-id

（任意）ポートを初期化します。

デフォルト

デフォルト設定はありません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、IEEE 802.1x ステートマシンを初期化し、新たな認証環境を設定します。このコマンドを入力したあと、ポートの状態は無許可になります。

このコマンドには、 no 形式はありません。

例

次の例では、ポートを手動で初期化する方法を示します。

Switch# dot1x initialize interface gigabitethernet1/2

ポートステータスが無許可になっていることを確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

dot1x mac-auth-bypass

MAC 認証バイパス機能をイネーブルにするには、 dot1x mac-auth-bypass インターフェイスコンフィギュレーションコマンドを使用します。MAC 認証バイパス機能をディセーブルにするには、このコマンドの no 形式を使用します。

dot1x mac-auth-bypass [ eap | timeout inactivity value ]

no dot1x mac-auth-bypass

シンタックスの説明

eap	（任意）認証に Extensible Authentication Protocol（EAP）を使用するようスイッチを設定します。
timeout inactivity value	（任意）接続されたホストが無許可ステートになる前に非アクティブである秒数を設定します。指定できる範囲は 1 ～ 65535 です。

デフォルト

MAC 認証バイパスはディセーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

特に言及されないかぎり、MAC 認証バイパス機能の使用上のガイドラインは IEEE802.1x 認証の使用上のガイドラインと同じです。

ポートが MAC アドレスで認証されたあとで、ポートから MAC 認証バイパス機能をディセーブルにした場合、ポートステートには影響ありません。

ポートが未許可ステートであり、クライアント MAC アドレスが認証サーバデータベースにない場合、ポートは未許可ステートのままです。ただし、クライアント MAC アドレスがデータベースに追加されると、スイッチは MAC 認証バイパス機能を使用してポートを再認証できます。

ポートが認証ステートにない場合、再認証が行われるまでポートはこのステートを維持します。

リンクのライフタイム中に EAPOL パケットがインターフェイス上で検出された場合、スイッチは、そのインターフェイスに接続されているデバイスが IEEE 802.1x 対応サプリカントであることを確認し、（MAC 認証バイパス機能ではなく）IEEE 802.1x 認証を使用してインターフェイスを認証します。

MAC 認証バイパスで認証されたクライアントは再認証できます。

MAC 認証バイパスおよび IEEE 802.lx 認証の相互作用の詳細については、ソフトウェアコンフィギュレーションガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の「Understanding IEEE 802.1x Authentication with MAC Authentication Bypass」および「IEEE 802.1x Authentication Configuration Guidelines」を参照してください。

例

次の例では、MAC 認証バイパスをイネーブルにし、認証に EAP を使用するようスイッチを設定する方法を示します。

Switch(config-if)# dot1x mac-auth-bypass eap

次の例では、MAC 認証バイパスをイネーブルにし、接続されたホストが 30 秒間非アクティブである場合にタイムアウトを設定する方法を示します。

Switch(config-if)# dot1x mac-auth-bypass timeout inactivity 30

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

dot1x max-reauth-req

ポートが無許可ステートに変わるまでに、スイッチが認証プロセスを再起動する上限回数を設定するには、 dot1x max-reauth-req インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x max -reauth -req count

no dot1x max -reauth -req

シンタックスの説明

count

ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再起動する回数です。指定できる範囲は 0 ～ 10 です。

デフォルト

デフォルトは 2 回です。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。

例

次の例では、ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再起動する回数を 4 に設定する方法を示します。

Switch(config-if)# dot1x max-reauth-req 4

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

dot1x max-req

認証プロセスを再起動するまでスイッチが Extensible Authentication Protocol（EAP）フレームを認証サーバからクライアントに送信する上限回数を設定するには（応答を受信しないと仮定）、 dot1x max-req インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x max-req count

no dot1x max-req

シンタックスの説明

count

スイッチが、認証プロセスを再起動する前に、認証サーバから EAP フレームを再送信する回数です。指定できる範囲は 1 ～ 10 です。

デフォルト

デフォルトは 2 回です。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

例

次の例では、認証プロセスを再起動する前に、スイッチが EAP フレームを認証サーバからクライアントに送信する回数を 5 回に設定する方法を示します。

Switch(config-if)# dot1x max-req 5

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

dot1x pae

IEEE 802.1x Port Access Entity（PAE）オーセンティケータとしてポートを設定するには、 dot1x pae インターフェイスコンフィギュレーションコマンドを使用します。IEEE 802.1x 認証をポート上でディセーブルにするには、このコマンドの no 形式を使用します。

dot1x pae authenticator

no dot1x pae

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

ポートは IEEE 802.1x PAE オーセンティケータではありません。IEEE 802.1x 認証はポート上でディセーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

IEEE 802.1x 認証をポート上でディセーブルにする場合は、このコマンドの no dot1x pae 形式を使用します。

dot1x port-control インターフェイスコンフィギュレーションコマンドを入力するなどしてポート上で IEEE 802.1x 認証を設定した場合、スイッチは自動的にポートを IEEE 802.1x オーセンティケータとして設定します。オーセンティケータの PAE 動作は、 no dot1x pae インターフェイスコンフィギュレーションコマンドを入力したあとでディセーブルになります。

例

次の例では、ポートの IEEE 802.1x 認証をディセーブルにする方法を示します。

Switch(config-if)# no dot1x pae

設定を確認するには、 show dot1x または show eap 特権 EXEC コマンドを入力します。

dot1x port-control

ポートの許可ステートを手動で制御するには、 dot1x port-control インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x port-control { auto | force-authorized | force-unauthorized }

no dot1x port-control

シンタックスの説明

auto	ポートで IEEE 802.1x 認証をイネーブルにし、スイッチおよびクライアント間の IEEE 802.1x 認証交換に基づきポートを許可または無許可ステートに変更します。
force-authorized	ポートで IEEE 802.1x 認証をディセーブルにすれば、認証情報の交換をせずに、ポートを許可ステートに移行します。ポートはクライアントとの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。
force-unauthorized	クライアントからの認証の試みをすべて無視し、ポートを強制的に無許可ステートに変更することにより、このポート経由のすべてのアクセスを拒否します。スイッチはポートを介してクライアントに認証サービスを提供できません。

デフォルト

デフォルトは force-authorized です。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

特定のポートの IEEE 802.1x 認証をイネーブルにする前に、 dot1x system-auth-control グローバルコンフィギュレーションコマンドを使用して、スイッチの IEEE 802.1x 認証をグローバルにイネーブルにする必要があります。

IEEE 802.1x 標準は、レイヤ 2 のスタティックアクセスポート、音声 VLAN のポート、およびレイヤ 3 のルーテッドポート上でサポートされます。

ポートが、次の項目の 1 つとして設定されていない場合に auto キーワードを使用できます。

• トランクポート：トランクポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラーメッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートのモードをトランクに変更しようとしても、エラーメッセージが表示され、ポートモードは変更されません。

• ダイナミックポート：ダイナミックモードのポートは、ネイバーとトランクポートへの変更をネゴシエートする場合があります。ダイナミックポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラーメッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートのモードをダイナミックに変更しようとしても、エラーメッセージが表示され、ポートモードは変更されません。

• ダイナミックアクセスポート：ダイナミックアクセス（VLAN Query Protocol [VQP]）ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラーメッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートを変更してダイナミック VLAN を割り当てようとしても、エラーメッセージが表示され、VLAN 設定は変更されません。

• Switched Port Analyzer（SPAN; スイッチドポートアナライザ）および Remote SPAN（RSPAN; リモート SPAN）宛先ポート：SPAN または RSPAN 宛先ポートであるポートの IEEE 802.1x 認証をイネーブルにすることができます。ただし、そのポートが SPAN または RSPAN 宛先として削除されるまで、IEEE 802.1x 認証はディセーブルのままです。SPAN または RSPAN 送信元ポートでは IEEE 802.1x 認証をイネーブルにすることができます。

スイッチの IEEE 802.1x 認証をグローバルにディセーブルにするには、 no dot1x system-auth-control グローバルコンフィギュレーションコマンドを使用します。特定のポートの IEEE 802.1x 認証をディセーブルにする場合やデフォルト設定に戻す場合は、 no dot1x port-control インターフェイスコンフィギュレーションコマンドを使用します。

例

次の例では、ポートの IEEE 802.1x 認証をイネーブルにする方法を示します。

Switch(config)# interface gigabitethernet1/2

Switch(config-if)# dot1x port-control auto

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

dot1x re-authenticate

指定の IEEE 802.1x 対応ポートの再認証を手動で開始するには、 dot1x re-authenticate 特権 EXEC コマンドを使用します。

dot1x re-authenticate [ interface interface-id ]

シンタックスの説明

interface interface-id

（任意）再認証するインターフェイスのモジュールおよびポート番号

デフォルト

デフォルト設定はありません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドを使用すると、再認証試行間隔（re-authperiod）および自動再認証の設定秒数を待たずにクライアントを再認証できます。

例

次の例では、ポートに接続されたデバイスを手動で再認証する方法を示します。

Switch# dot1x re-authenticate interface gigabitethernet1/2

dot1x reauthentication

クライアントの定期的な再認証をイネーブルにするには、 dot1x reauthentication インターフェイスコンフィギュレーションコマンドを使用します。　デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x reauthentication

no dot1x reauthentication

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

定期的な再認証はディセーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

dot1x timeout reauth-period インターフェイスコンフィギュレーションコマンドを使用して、定期的な再認証の試行間隔を設定します。

例

次の例では、クライアントの定期的な再認証をディセーブルにする方法を示します。

Switch(config-if)# no dot1x reauthentication

次の例では、定期的な再認証をイネーブルにし、再認証の間隔を 4000 秒に設定する方法を示します。

Switch(config-if)# dot1x reauthentication

Switch(config-if)# dot1x timeout reauth-period 4000

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

dot1x supplicant force-multicast

マルチキャストまたはユニキャスト EAPOL パケットを受信したらサプリカントスイッチから LAN（EAPOL）経由でマルチキャスト Extensible Authentication Protocol のみを強制的に送信するには、 dot1x supplicant force-multicast グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x supplicant force-multicast

no dot1x supplicant force-multicast

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

サプリカントスイッチでは、ユニキャスト EAPOL パケットを受信すると、ユニキャスト EAPoL パケットが送信されます。同様に、マルチキャスト EAPOL パケットを受信すると、マルチキャスト EAPoL パケットが送信されます。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

Network Edge Access Topology（NEAT）をすべてのホストモードで使用するには、サプリカントスイッチでこのコマンドをイネーブルにします。

例

次の例では、サプリカントスイッチで強制的にマルチキャスト EAPOL パケットをオーセンティケータスイッチに送信する方法を示します。

Switch(config)# dot1x supplicant force-multicast

dot1x test eapol-capable

すべてのスイッチポート上の IEEE 802.1x アクティビティを監視し、IEEE 802.1x をサポートしているポートに接続されたデバイスに関する情報を表示するには、 dot1x test eapol-capable 特権 EXEC コマンドを使用します。

dot1x test eapol-capable [ interface interface-id ]

シンタックスの説明

interface interface-id

（任意）ポートを照会します。

デフォルト

デフォルト設定はありません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

スイッチ上のすべてのポートまたは特定のポートに接続されたデバイスの IEEE 802.1x 機能をテストするには、このコマンドを使用します。

このコマンドには、 no 形式はありません。

例

次の例では、スイッチ上の IEEE 802.1x 準備状態チェックをイネーブルにして、ポートを照会する方法を示します。また、照会済みポートから受信した応答も示し、接続しているデバイスが IEEE 802.1x 対応であることを確認します。

Switch# dot1x test eapol-capable interface gigabitethernet1/2

DOT1X_PORT_EAPOL_CAPABLE:DOT1X: MAC 00-01-02-4b-f1-a3 on gigabitethernet01/2 is EAPOL capable

dot1x test timeout

IEEE 802.1x 準備状態を照会しているポートからの EAPOL 応答の待機に使用されるタイムアウトを設定するには、 dot1x test timeout グローバルコンフィギュレーションコマンドを使用します。

dot1x test timeout timeout

シンタックスの説明

timeout

EAPOL 応答の待機時間（秒単位）。指定できる範囲は 1 ～ 65535 秒です。

デフォルト

デフォルト設定は 10 秒です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

EAPOL 応答の待機に使用するタイムアウトを設定するには、このコマンドを使用します。

このコマンドには、 no 形式はありません。

例

次の例では、EAPOL 応答に 27 秒間待機するようにスイッチを設定する方法を示します。

Switch# dot1x test timeout 27

show run 特権 EXEC コマンドを入力すると、タイムアウト設定ステータスを確認できます。

dot1x timeout

IEEE 802.1x タイマーを設定するには、 dot1x timeout インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

dot1x timeout { quiet-period seconds | ratelimit-period seconds | reauth-period { seconds | server } | server-timeout seconds | supp-timeout seconds | tx-period seconds }

no dot1x timeout { quiet-period | reauth-period | server-timeout | supp-timeout | tx-period }

シンタックスの説明

quiet- period seconds	スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数。指定できる範囲は 1 ～ 65535 です。
ratelimit- period seconds	この期間中に認証に成功したクライアントからの Extensible Authentication Protocol over LAN（EAPOL）パケットをスイッチが無視した秒数指定できる範囲は 1 ～ 65535 です。
reauth-period { seconds \| server }	再認証の間隔（秒）を指定します。キーワードの意味は次のとおりです。 • seconds ： 1 ～ 65535 の範囲で秒数を指定します。デフォルトは 3600 秒です。 • server ：セッションタイムアウト RADIUS 属性（属性 [27]）の値として秒数を設定します。
server-timeout seconds	認証サーバに対して、スイッチのパケット再送信を待機する秒数。指定できる範囲は 30 ～ 65535 です。
supp-timeout seconds	スイッチが IEEE 802.1x クライアントへパケットを再送信する前に待機する秒数。指定できる範囲は 30 ～ 65535 です。
tx- period seconds	要求を再送信するまでスイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待機する秒数を設定します。指定できる範囲は 1 ～ 65535 です。

デフォルト

デフォルトの設定は次のとおりです。

reauth-period は 3600 秒です。

quiet-period は 60 秒です。

tx-period は 5 秒です。

supp-timeout は 30 秒です。

server-timeout は 30 秒です。

rate-limit は 1 秒です。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

dot1x reauthentication インターフェイスコンフィギュレーションコマンドを使用して定期的な再認証をイネーブルにした場合のみ、 dot1x timeout reauth-period インターフェイスコンフィギュレーションコマンドは、スイッチの動作に影響します。

待機時間の間、スイッチはどのような認証要求も受け付けず、開始もしません。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。

ratelimit-period が 0（デフォルト）に設定された場合、スイッチは認証に成功したクライアントからの EAPOL パケットを無視し、それらを RADIUS サーバに転送します。

例

次の例では、定期的な再認証をイネーブルにし、再認証の間隔を 4000 秒に設定する方法を示します。

Switch(config-if)# dot1x reauthentication

Switch(config-if)# dot1x timeout reauth-period 4000

次の例では、定期的な再認証をイネーブルにし、再認証の間隔としてセッションタイムアウト RADIUS 属性の値を指定する方法を示します。

Switch(config-if)# dot1x reauthentication

Switch(config-if)# dot1x timeout reauth-period server

次の例では、スイッチの待機時間を 30 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout quiet-period 30

次の例では、スイッチから認証サーバへの再送信時間を 45 秒に設定する方法を示します。

Switch(config)# dot1x timeout server-timeout 45

次の例では、EAP request フレームに対するスイッチからクライアントへの再送信時間を 45 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout supp-timeout 45

次の例では、EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を 60 秒に設定する方法を示します。

Switch(config-if)# dot1x timeout tx-period 60

次の例では、認証に成功したクライアントからの EAPOL パケットをスイッチが無視する秒数を 30 と設定する方法を示します。

Switch(config-if)# dot1x timeout ratelimit-period 30

設定を確認するには、 show dot1x 特権 EXEC コマンドを入力します。

dot1x violation-mode

新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続されたあとに新しいデバイスがそのポートに接続された場合に発生する違反モードを設定するには、 dot1x violation-mode インターフェイスコンフィギュレーションコマンドを使用します。

dot1x violation-mode {shutdown | restrict | protect}

no dot1x violation-mode

シンタックスの説明

shutdown	予想されない新規の MAC アドレスが発生したポートまたは仮想ポートを errdisable にします。
restrict	違反エラーが発生した場合に Syslog エラーを生成します。
protect	通知なしで新規の MAC アドレスからパケットを廃棄します。これは、デフォルト設定です。

デフォルト

デフォルトでは、dot1x violation-mode protect はイネーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(46)SE1	このコマンドが追加されました。

例

次の例では、IEEE 802.1x 対応ポートを errordisable として設定し、新しいデバイスがポートに接続されたときにシャットダウンする方法を示します。

Switch(config-if)# dot1x violation-mode shutdown

次の例では、新しいデバイスがポートに接続されたときにシステムエラーメッセージを生成し、ポートを制限モードに変更するよう IEEE 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# dot1x violation-mode restrict

次の例では、新しいデバイスがポートに接続されたときにデバイスを無視するよう IEEE 802.1x 対応ポートを設定する方法を示します。

Switch(config-if)# dot1x violation-mode protect

設定を確認するには、 show dot1x [ interface interface-id ] 特権 EXEC コマンドを入力します。

duplex

ポートがデュプレックスモードで動作するよう指定するには、 duplex インターフェイスコンフィギュレーションコマンドを使用します。ポートをデフォルト値に戻すには、このコマンドの no 形式を使用します。

duplex { auto | full | half }

no duplex

シンタックスの説明

auto	自動デュプレックス設定をイネーブルにします。ポートは、接続する装置のモードに応じて、全二重または半二重のどちらのモードで稼動する必要があるかを自動的に検出します。
full	全二重モードをイネーブルにします。
half	半二重モードをイネーブルにします（10 または 100 Mb/s で動作するインターフェイス用のみ）。1000 または 10000 Mb/s で動作するインターフェイスに対して半二重モードを設定できません。

デフォルト

ファストイーサネットポートおよびギガビットイーサネットポートに対するデフォルトは auto です。

100BASE- x （- x は -BX、-FX、-FX-FE、または -LX）SFP モジュールのデフォルトは full です。

二重オプションは、1000BASE- x （- x は -BX、-CWDM、-LX、-SX、または -ZX）SFP モジュールではサポートされていません。

ご使用のスイッチでサポートされている SFP モジュールについては、製品のリリースノートを参照してください。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

ファストイーサネットポートでは、接続されたデバイスがデュプレックスパラメータの自動ネゴシエーションを実行しない場合、ポートを auto に設定すると、 half を指定するのと同じ効果があります。

ギガビットイーサネットポートでは、接続装置がデュプレックスパラメータを自動ネゴシエートしないときにポートを auto に設定すると、 full を指定する場合と同じ効果があります。

（注）デュプレックスモードが auto で接続されている装置が半二重で動作している場合、半二重モードはギガビットイーサネットインターフェイスでサポートされます。ただし、これらのインターフェイスを半二重モードで動作するように設定することはできません。

特定のポートを全二重または半二重のどちらかに設定できます。このコマンドの適用可能性は、スイッチが接続されているデバイスによって異なります。

両方のラインの終端が自動ネゴシエーションをサポートしている場合、デフォルトの自動ネゴシエーションを使用することを強く推奨します。片方のインターフェイスが自動ネゴシエーションをサポートし、もう片方がサポートしていない場合、両方のインターフェイス上でデュプレックスと速度を設定し、サポートされている側で auto の設定を使用してください。

速度が auto に設定されている場合、スイッチはリンクの反対側のデバイスと速度設定についてネゴシエートし、速度をネゴシエートされた値に強制的に設定します。デュプレックス設定はリンクの両端での設定が引き継がれますが、これにより、デュプレックス設定に矛盾が生じることがあります。

速度が auto に設定されている場合、デュプレックス設定を行うことができます。

注意インターフェイス速度とデュプレックスモードの設定を変更すると、再設定中にインターフェイスがシャットダウンし、再度イネーブルになる場合があります。

スイッチの速度およびデュプレックスのパラメータの設定に関する注意事項は、このリリースに対応するソフトウェアコンフィギュレーションガイドの「Configuring Interface Characteristics」の章を参照してください。

例

次の例では、インターフェイスを全二重動作に設定する方法を示します。

Switch(config)# interface gigabitethernet1/1/1

Switch(config-if)# duplex full

設定を確認するには、 show interfaces 特権 EXEC コマンドを入力します。

errdisable detect cause

特定の原因、またはすべての原因に対して、errdisable 検出をイネーブルにするには、 errdisable detect cause グローバルコンフィギュレーションコマンドを使用します。errdisable 検出機能をディセーブルにする場合は、このコマンドの no 形式を使用します。

errdisable detect cause { all | arp-inspection | bpduguard | dhcp-rate-limit | dtp-flap | gbic-invalid | inline-power | l2ptguard | link-flap | loopback | pagp-flap | security-violation shutdown vlan | sfp-config-mismatch }

no errdisable detect cause { all | arp-inspection | bpduguard | dhcp-rate-limit | dtp-flap | gbic-invalid | inline-power | l2ptguard | link-flap | loopback | pagp-flap | security-violation shutdown vlan | sfp-config-mismatch }

BPDU ガード機能およびポートセキュリティ機能の場合はこのコマンドを使用し、違反の発生時にポート全体をシャットダウンする代わりに、ポートで問題となっている VLAN だけをシャットダウンするようにスイッチをグローバルに設定できます。

VLAN ごとに errdisable 機能をオフにしていて BPDU ガード違反が発生した場合は、ポート全体がディセーブルになります。VLAN ごとに errdisable 機能をディセーブルにするには、このコマンドの no 形式を使用します。

errdisable detect cause bpduguard shutdown vlan

no errdisable detect cause bpduguard shutdown vlan

シンタックスの説明

all	すべての errdisable の原因に対して、エラー検出をイネーブルにします。
arp-inspection	ダイナミックアドレス解決プロトコル（ARP）インスペクションのエラー検出をイネーブルにします。
bpduguard shutdown vlan	BPDU ガードで VLAN ごとに errdisable をイネーブルにします。
dhcp-rate-limit	Dynamic Host Configuration Protocol（DHCP）スヌーピング用のエラー検出をイネーブルにします。
dtp-flap	Dynamic Trunking Protocol（DTP; ダイナミックトランキングプロトコル）フラッピングのエラー検出をイネーブルにします。
gbic-invalid	無効な Gigabit Interface Converter（GBIC; ギガビットインターフェイスコンバータ）モジュールのエラー検出をイネーブルにします。（注）このエラーは、スイッチの Small Form-Factor Pluggable（SFP）モジュールが無効であることを示しています。
inline-power	インラインパワーに対し、エラー検出をイネーブルにします。
l2ptguard	レイヤ 2 プロトコルトンネルの errdisable 原因に対し、エラー検出をイネーブルにします。
link-flap	リンクステートフラッピングのエラー検出をイネーブルにします。
loopback	検出されたループバックのエラー検出をイネーブルにします。
pagp-flap	ポート集約プロトコル（PAgP）フラップの errdisable 原因のエラー検出をイネーブルにします。
security-violation shutdown vlan	音声認識 802.1x セキュリティをイネーブルにします。
sfp-config-mismatch	SFP 設定の不一致でエラー検出をイネーブルにします。

コマンドのデフォルト

検出はすべての原因に対してイネーブルです。すべての原因（VLAN 単位の errordisable を除く）により、ポート全体をシャットダウンするよう設定されています。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

原因（link-flap、 dhcp-rate-limit など）は、errdisable ステートが発生した理由です。原因がポートで検出された場合、ポートは errdisable ステート（リンクダウンステートに類似した動作ステート）となります。

ポートが errdisable になっているときは事実上シャットダウンし、トラフィックはポートで送受信されません。BPDU、音声認識 802.1x セキュリティ、ガード機能およびポートセキュリティ機能の場合は、違反の発生時にポート全体をシャットダウンする代わりに、ポートで問題となっている VLAN のみをシャットダウンするようにスイッチを設定できます。

原因に対して errdisable recovery グローバルコンフィギュレーションコマンドを入力して、原因の回復メカニズムを設定する場合は、すべての原因がタイムアウトになった時点で、ポートは errdisable ステートから抜け出して、処理を再試行できるようになります。回復メカニズムを設定しない場合は、まず shutdown コマンドを入力し、次に no shutdown コマンドを入力して、ポートを手動で errdisable ステートから回復させる必要があります。

例

次の例では、リンクフラップ errdisable 原因の errdisable 検出をイネーブルにする方法を示します。

Switch(config)# errdisable detect cause link-flap

次のコマンドでは、VLAN ごとの errdisable で BPDU ガードをグローバルに設定する方法を示します。

Switch(config)# errdisable detect cause bpduguard shutdown vlan

次のコマンドでは、音声対応 802.1x セキュリティを VLAN ごとにグローバルに errordisable に設定する方法を示します。

Switch(config)# errdisable detect cause security-violation shutdown vlan

show errdisable detect 特権 EXEC コマンドを入力すると、設定を確認できます。

errdisable detect cause small-frame

着信 VLAN タグ付きパケットが小さなフレーム（67 バイト以下）で、最小設定レート（しきい値）で着信する場合にスイッチポートを errordisable にするには、errdisable detect cause small-frame グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

errdisable detect cause small-frame

no errdisable detect cause small-frame

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

この機能はディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、小さなフレームの着信機能をグローバルにイネーブルにします。ポートごとにしきい値を設定するには、small violation-rate インターフェイスコンフィギュレーションコマンドを使用します。

errdisable recovery cause small-frame グローバルコンフィギュレーションコマンドを使用して、ポートが自動的に再びイネーブルになるように設定できます。errdisable recovery interval グローバルコンフィギュレーションコマンド を使用して、リカバリ時間を設定します。

例

次の例では、小さな着信フレームが設定されたしきい値で着信した場合にスイッチポートを errordisable にできる方法を示します。

Switch(config)# errdisable detect cause small-frame

設定を確認するには、show interfaces 特権 EXEC コマンドを入力します。

errdisable recovery cause small-frame

小さなフレームの着信によりポートが errordisable になったあと、ポートを自動的に再イネーブルにするリカバリタイマーをイネーブルにするには、スイッチで errdisable recovery cause small-frame グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

errdisable recovery cause small-frame

no errdisable recovery cause small-frame

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

この機能はディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、errordisable であるポートのリカバリタイマーをイネーブルにします。errdisable recovery interval interval インターフェイスコンフィギュレーションコマンド を使用して、リカバリ時間を設定します。

例

次の例では、リカバリタイマーを設定する方法を示します。

Switch(config)# errdisable recovery cause small-frame

設定を確認するには、show interfaces ユーザ EXEC コマンドを入力します。

errdisable recovery

回復メカニズム変数を設定するには、 errdisable recovery グローバルコンフィギュレーションコマンドを設定します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

errdisable recovery { cause { all | arp-inspection | bpduguard | channel-misconfig | dhcp-rate-limit | dtp-flap | gbic-invalid | inline-power | l2ptguard | link-flap | loopback | pagp-flap | psecure-violation | security-violation | sfp-mismatch | udld | vmps } | { interval interval }

no errdisable recovery { cause { all | arp-inspection | bpduguard | channel-misconfig | dhcp-rate-limit | dtp-flap | gbic-invalid | inline-power | l2ptguard | link-flap | loopback | pagp-flap | psecure-violation | security-violation | sfp-mismatch | udld | vmps } | { interval interval }

シンタックスの説明

cause	特定の原因から回復するように errdisable メカニズムをイネーブルにします。
all	すべての errdisable の原因から回復するタイマーをイネーブルにします。
bpduguard	ブリッジプロトコルデータユニット（BPDU）ガード errdisable ステートから回復するタイマーをイネーブルにします。
arp-inspection	アドレス解決プロトコル（ARP）検査による errdisable ステートから回復するためのタイマーをイネーブルにします。
channel-misconfig	EtherChannel の設定矛盾による errdisable ステートから回復するタイマーをイネーブルにします。
dhcp-rate-limit	DHCP スヌーピング errdisable ステートから回復するタイマーをイネーブルにします。
dtp-flap	ダイナミックトランキングプロトコル（DTP）フラップ errdisable ステートから回復するタイマーをイネーブルにします。
gbic-invalid	無効なギガビットインターフェイスコンバータ（GBIC）モジュールの errdisable ステートから回復するタイマーをイネーブルにします。（注）このエラーは、無効な Small Form-Factor Pluggable（SFP）の errdisable ステートを意味します。
inline-power	インラインパワーに対し、エラー検出をイネーブルにします。
l2ptguard	レイヤ 2 プロトコルトンネルによる errdisable ステートから回復するためのタイマーをイネーブルにします。
link-flap	リンクフラップ errdisable ステートから回復するタイマーをイネーブルにします。
loopback	ループバック errdisable ステートから回復するタイマーをイネーブルにします。
pagp-flap	ポート集約プロトコル（PAgP）フラップ errdisable ステートから回復するタイマーをイネーブルにします。
psecure-violation	ポートセキュリティ違反ディセーブルステートから回復するタイマーをイネーブルにします。
security-violation	IEEE 802.1x 違反ディセーブルステートから回復するタイマーをイネーブルにします。
sfp-mismatch	SFP 設定の不一致でエラー検出をイネーブルにします。
udld	UniDirectional Link Detection（UDLD; 単方向リンク検出）errdisable ステートから回復するタイマーをイネーブルにします。
vmps	VLAN メンバシップポリシーサーバ（VMPS）errdisable ステートから回復するタイマーをイネーブルにします。
interval interval	指定された errdisable ステートから回復する時間を指定します。指定できる範囲は 30 ～ 86400 秒です。すべての原因に同じ間隔が適用されます。デフォルト間隔は 300 秒です。（注） errdisable recovery のタイマーは、設定された間隔値からランダムな差で初期化されます。実際のタイムアウト値と設定された値の差は、設定された間隔の 15% まで認められます。

デフォルト

すべての原因に対して回復はディセーブルです。

デフォルトの回復間隔は 300 秒です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

原因（ link-flap や bpduguard など）は、errdisable ステートが発生した理由として定義されます。原因がポートで検出された場合、ポートは errdisable ステート（リンクダウンステートに類似した動作ステート）となります。

ポートが errdisable になっているときは事実上シャットダウンし、トラフィックはポートで送受信されません。BPDU ガード機能およびポートセキュリティ機能の場合は、違反の発生時にポート全体をシャットダウンする代わりに、ポートで問題となっている VLAN のみをシャットダウンするようにスイッチを設定できます。

その原因に対して errdisable の回復をイネーブルにしない場合、ポートは、 shutdown および no shutdown インターフェイスコンフィギュレーションコマンドが入力されるまで errdisable ステートのままです。原因の回復をイネーブルにした場合、ポートは errdisable ステートから回復し、すべての原因がタイムアウトになったときに処理を再開できるようになります。

原因の回復をイネーブルにしない場合、まず shutdown コマンドを入力し、次に no shutdown コマンドを入力して、手動でポートを errdisable ステートから回復させる必要があります。

例

次の例では、BPDU ガード errdisable 原因に対して回復タイマーをイネーブルにする方法を示します。

Switch(config)# errdisable recovery cause bpduguard

次の例では、タイマーを 500 秒に設定する方法を示します。

Switch(config)# errdisable recovery interval 500

設定を確認するには、 show errdisable recovery 特権 EXEC コマンドを入力します。

exception crashinfo

Cisco IOS イメージでエラーが発生した場合に拡張クラッシュ情報ファイルを作成するようにスイッチを設定するには、 exception crashinfo グローバルコンフィギュレーションコマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

exception crashinfo

no exception crashinfo

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

スイッチが拡張 crashinfo ファイルを作成します。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

基本 crashinfo ファイルには、失敗した Cisco IOS のイメージ名とバージョン、およびプロセッサレジスタのリストが含まれます。拡張 crashinfo ファイルには、スイッチの障害の原因を判別するのに役立つその他の追加情報が含まれます。

スイッチが拡張 crashinfo ファイルを作成しないように設定するには、 no exception crashinfo グローバルコンフィギュレーションコマンドを使用します。

例

次の例では、スイッチが拡張 crashinfo ファイルを作成しないように設定する方法を示します。

Switch(config)# no exception crashinfo

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

fallback profile

Web 認証用にフォールバックプロファイルを作成するには、fallback profile グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

fallback profile profile

no fallback profile

シンタックスの説明

profile

IEEE 802.1x 認証をサポートしていないクライアントのフォールバックプロファイルを指定します。

デフォルト

フォールバックプロファイルは設定されていません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

フォールバックプロファイルは、サプリカントを持たない IEEE 802.1x ポートの IEEE 802.1x フォールバック動作を定義するために使用されます。サポートされる動作は、Web 認証へのフォールバックのみです。

fallback profile コマンドを入力すると、プロファイルコンフィギュレーションモードが開始され、次のコンフィギュレーションコマンドが使用可能になります。

• ip：IP コンフィギュレーションを作成します。

• access-group：まだ認証されていないホストによって送信されたパケットのアクセスコントロールを指定します。

• admission：IP アドミッションルールを適用します。

例

次の例では、Web 認証で使用されるフォールバックプロファイルの作成方法を示します。

Switch# configure terminal

Switch(config)# ip admission name rule1 proxy http

Switch(config)# fallback profile profile1

Switch(config-fallback-profile)# ip access-group default-policy in Switch(config-fallback-profile)# ip admission rule1

Switch(config-fallback-profile)# exit

Switch(config)# interface gigabitethernet 1/1

Switch(config-if)# dot1x fallback profile1
Switch(config-if)# end

設定を確認するには、 show running-configuration [ interface interface-id ] 特権 EXEC コマンドを入力します。

fcs-threshold

フレームチェックシーケンス（FCS）ビットエラーレートを設定するには、fcs-threshold インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

fcs-threshold value

no fcs-threshold value

シンタックスの説明

value

値範囲は 6 ～ 11で、10-6 ～ 10-11 ビットエラーレートを示します。

デフォルト

デフォルトは 8 です。これは、イーサネット標準の 10-8 ビットエラーレートを示します。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

イーサネット標準の上限ビットエラーレートは 10-8 です。IE 3000 スイッチで設定可能なビットエラーレートの範囲は 10-6 ～ 10-11 です。スイッチのビットエラーレートは自然数です。ビットエラーレートに 10-9 を設定する場合は、係数に 9 を入力します。

スイッチに FCS エラーヒステリシスしきい値を設定して、実際のビットエラーレートの変動が設定したビットエラーレートに接近すると切り替わるアラームを防止するには、alarm facility fcs hysteresis グローバルコンフィギュレーションコマンドを使用します。

例

次の例では、ポートの FCS ビットエラーレートを 10-10 に設定する方法を示します。

Switch(config)# interface fastethernet1/1

Switch(config-if)# fcs-threshold 10

flowcontrol

インターフェイスの受信フロー制御ステートを設定するには、 flowcontrol インターフェイスコンフィギュレーションコマンドを使用します。ある装置に対して send が動作可能でオンになっていて、接続のもう一方の側で輻輳が検出された場合、休止フレームを送信することによって、リンクの相手側またはリモート装置に輻輳を通知します。ある装置に対してフロー制御 receive がオンで、休止フレームを受信した場合、データパケットの送信は停止します。こうすることにより、輻輳期間中にデータパケットの損失を防ぎます。

フロー制御をディセーブルにするには、 receive off キーワードを使用します。

flowcontrol receive { desired | off | on }

（注）スイッチは、ポーズフレームを受信できますが、送信はできません。

シンタックスの説明

receive	インターフェイスがリモート装置からフロー制御パケットを受信できるかどうかを設定します。
desired	インターフェイスを、フロー制御パケットを送信する必要がある接続装置またはフロー制御パケットを送信する必要はないが送信することのできる接続装置とともに稼動させることができます。
off	接続装置がフロー制御パケットをインターフェイスへ送信する機能をオフにします。
on	インターフェイスを、フロー制御パケットを送信する必要がある接続装置またはフロー制御パケットを送信する必要はないが送信することのできる接続装置とともに稼動させることができます。

デフォルト

デフォルトは、 flowcontrol receive off に設定されています。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このスイッチでは、送信フロー制御の休止フレームはサポートされません。

on および desired キーワードは同一の結果になることに注意してください。

flowcontrol コマンドを使用してポートが輻輳中にトラフィックレートを制御するよう設定する場合、フロー制御はポート上で次の条件のうちの 1 つに設定されます。

• receive on または desired ：ポートはポーズフレームを送信できませんが、ポーズフレームを送信する必要のある接続済デバイスまたはポーズフレームを送信できる接続済デバイスと連動できます。ポートはポーズフレームを受信できます。

• receive off ：フロー制御はどちらの方向にも動作しません。輻輳が生じても、リンクの相手側に通知はなく、どちら側の装置も休止フレームの送受信を行いません。

表 2-6 は、各設定の組み合わせによるローカルポートおよびリモートポート上のフロー制御の結果を示したものです。表は receive desired キーワードの使用時と receive on キーワードの使用時の結果が同一になることを前提としています。

表 2-6 フロー制御設定およびローカル/リモートポートフロー制御解決
フロー制御設定		フロー制御解決
ローカルデバイス	リモートデバイス	ローカルデバイス	リモートデバイス
send off/receive on	send on/receive on send on/receive off send desired/receive on send desired/receive off send off/receive on send off/receive off	受信のみ行います。受信のみ行います。受信のみ行います。受信のみ行います。受信のみ行います。送受信を行いません。	送受信を行います。送信のみ行います。送受信を行います。送信のみ行います。受信のみ行います。送受信を行いません。
send off/receive off	send on/receive on send on/receive off send desired/receive on send desired/receive off send off/receive on send off/receive off	送受信を行いません。送受信を行いません。送受信を行いません。送受信を行いません。送受信を行いません。送受信を行いません。	送受信を行いません。送受信を行いません。送受信を行いません。送受信を行いません。送受信を行いません。送受信を行いません。

例

次の例では、リモートポートによってフロー制御がサポートされないようにローカルポートを設定する方法を示します。

Switch(config)# interface gigabitethernet 1/1

Switch(config-if)# flowcontrol receive off

設定を確認するには、 show interfaces 特権 EXEC コマンドを入力します。

interface port-channel

ポートチャネルの論理インターフェイスへのアクセス、または作成を行うには、 interface port-channel グローバルコンフィギュレーションコマンドを使用します。ポートチャネルを削除する場合は、このコマンドの no 形式を使用します。

interface port-channel port - channel-number

no interface port-channel port - channel-number

シンタックスの説明

port-channel-number

ポートチャネル番号。指定できる範囲は 1 ～ 6 です。

デフォルト

ポートチャネル論理インターフェイスは定義されません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

レイヤ 2 EtherChannel では、物理ポートをチャネルグループに割り当てる前にポートチャネルインターフェイスを作成する必要はありません。代わりに、 channel-group インターフェイスコンフィギュレーションコマンドを使用できます。チャネルグループが最初の物理ポートを獲得すると、ポートチャネルインターフェイスは自動的に作成されます。最初にポートチャネルインターフェイスを作成する場合は、 channel-group-number を port - channel-number と同じ番号にしても、新しい番号にしてもかまいません。新しい番号を使用した場合、 channel-group コマンドは動的に新しいポートチャネルを作成します。

チャネルグループ内の 1 つのポートチャネルだけが許可されます。

注意ポートチャネルインターフェイスをルーテッドポートとして使用する場合、チャネルグループに割り当てられた物理ポート上のレイヤ 3 に、アドレスを割り当てないようにしてください。

注意レイヤ 3 のポートチャネルインターフェイスとして使用されているチャネルグループの物理ポート上で、ブリッジグループを割り当てることは、ループ発生の原因になるため行わないようにしてください。スパニングツリーもディセーブルにする必要があります。

interface port-channel コマンドを使用する場合は、次の注意事項に従ってください。

• Cisco Discovery Protocol（CDP; シスコ検出プロトコル）を使用する場合には、これを物理ポートのみで設定してください。ポートチャネルインターフェイスでは設定できません。

• EtherChannel のアクティブメンバーであるポートを IEEE 802.1x ポートとしては設定しないでください。まだアクティブになっていない EtherChannel のポートで IEEE 802.1x をイネーブルにしても、そのポートは EtherChannel に加入しません。

例

次の例では、ポートチャネル番号 5 でポートチャネルインターフェイスを作成する方法を示します。

Switch(config)# interface port-channel 5

設定を確認するには、 show running-config 特権 EXEC コマンドまたは show etherchannel channel-group-number detail 特権 EXEC コマンドを入力します。

interface range

インターフェイスレンジコンフィギュレーションモードを開始し、複数のポート上でコマンドを同時に実行するには、 interface range グローバルコンフィギュレーションコマンドを使用します。インターフェイス範囲を削除する場合は、このコマンドの no 形式を使用します。

interface range { port-range | macro name }

no interface range { port-range | macro name }

シンタックスの説明

port-range	ポート範囲。 port-range の有効値のリストについては、「使用上のガイドライン」を参照してください。
macro name	マクロ名を指定します。

デフォルト

このコマンドにはデフォルト設定はありません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

インターフェイス範囲を設定するモードを開始して入力した、すべてのインターフェイスのパラメータは、その範囲内のすべてのインターフェイスに対する属性になります。

VLAN については、既存の VLAN Switch Virtual Interface（SVI; スイッチ仮想インターフェイス）でだけ interface range コマンドを使用できます。VLAN の SVI を表示する場合は、 show running-config 特権 EXEC コマンドを入力します。表示されない VLAN は、 interface range コマンドで使用することはできません。 interface range コマンドのもとで入力したコマンドは、この範囲のすべての既存の VLAN SVI に適用されます。

あるインターフェイス範囲に対して行われた設定変更は、すべて NVRAM（不揮発性 RAM）に保存されますが、 インターフェイス範囲 自体は NVRAM に保存されません。

インターフェイス範囲は 2 つの方法で入力できます。

• 最大 5 つまでのインターフェイス範囲を指定。

• 定義済みのインターフェイス範囲マクロ設定を指定。

範囲内のすべてのインターフェイスは同じタイプ、つまり、すべてがファストイーサネットポート、すべてがギガビットイーサネットポート、すべてが EtherChannel ポート、またはすべてが VLAN のいずれかでなければなりません。ただし、各範囲をカンマ（,）で区切ることにより、1 つのコマンドで最大 5 つのインターフェイス範囲を定義できます。

port-range タイプおよびインターフェイスの有効値は次のとおりです。

• vlan vlan-ID - vlan-ID （vlan ID の範囲は 1 ～ 4094）

• fastethernet module/{ first port } - { last port }

• gigabitethernet module/{ first port } - { last port }

物理インターフェイス

– 使用可能範囲は、type number/number - number です（例：gigabitethernet1/1 - 2）。

• port-channel port-channel-number - port-channel-number 、 port-channel-number は 1 ～ 6 です。

（注）ポートチャネルの interface range コマンドを使用した場合、範囲内の最初と最後のポートチャネル番号はアクティブなポートチャネルである必要があります。

範囲を定義するときは、最初の入力とハイフン（-）の間にスペースが必要です。

interface range gigabitethernet1/1 -2

複数の範囲を定義するときも、最初のエントリとカンマ（,）の間にスペースが必要です。

interface range fastethernet1/1 - 2, gigabitethernet1/1 - 2

同じコマンドでマクロとインターフェイス範囲の両方を指定することはできません。

また、 port-range で単一インターフェイスを指定することもできます。つまりこのコマンドは、 interface interface-id グローバルコンフィギュレーションコマンドに類似しています。

インターフェイスの範囲の設定に関する詳細は、このリリースに対応するソフトウェアコンフィギュレーションガイドを参照してください。

例

次の例では、 interface range コマンドを使用して、インターフェイス範囲コンフィギュレーションモードを開始し、2 つのポートにコマンドを入力する方法を示します。

Switch(config)# interface range gigabitethernet1/1 - 2

次の例では、同じ機能に対して 1 つのポート範囲マクロ macro1 を使用する方法を示します。この利点は、 macro1 を削除するまで再使用できることです。

Switch(config)# define interface-range macro1 gigabitethernet1/1 - 2

Switch(config)# interface range macro macro1

Switch(config-if-range)#

interface vlan

動的なスイッチ仮想インターフェイス（SVI）の作成や動的な SVI へのアクセスを行ったり、インターフェイスコンフィギュレーションモードを開始したりするには、 interface vlan グローバルコンフィギュレーションコマンドを使用します。SVI を削除するには、このコマンドの no 形式を使用します。

interface vlan vlan-id

no interface vlan vlan-id

シンタックスの説明

vlan-id

VLAN 番号指定できる範囲は 1 ～ 4094 です。

デフォルト

デフォルトの VLAN インターフェイスは VLAN 1 です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

SVI は、特定の VLAN に対して、初めて interface vlan vlan-id コマンドを入力したときに作成されます。 vlan-id は、IEEE 802.1Q カプセル化トランクのデータフレームに関連付けられた VLAN タグ、またはアクセスポートに設定された VLAN ID に相当します。

（注）物理ポートと関連付けられていない場合、SVI を作成してもアクティブにはなりません。

no interface vlan vlan -id コマンドで SVI を削除すると、削除されたインターフェイスは、それ以降、 show interfaces 特権 EXEC コマンドの出力には表示されません。

（注） VLAN 1 インターフェイスを削除することはできません。

削除した SVI は、削除したインターフェイスに対して interface vlan vlan-id コマンドを入力することで、元に戻すことができます。インターフェイスはバックアップとなりますが、それまでの設定は削除されます。

スイッチ上で設定された SVI の数と、設定された他の機能の数の相互関係によっては、ハードウェア制限により、CPU 使用率に影響がでる可能性もあります。 sdm prefer グローバルコンフィギュレーションコマンドを使用し、システムのハードウェアリソースを、テンプレートおよび機能テーブルに基づいて再度割り当てることができます。詳細については、 sdm prefer コマンドを参照してください。

例

次の例では、VLAN ID 23 の新しい SVI を作成し、インターフェイスコンフィギュレーションモードを開始する方法を示します。

Switch(config)# interface vlan 23

Switch(config-if)#

設定を確認するには、 show interfaces および show interfaces vlan

vlan-id 特権 EXEC コマンドを入力します。

ip access-group

レイヤ 2 またはレイヤ 3 インターフェイスへのアクセスを制御するには、 ip access-group インターフェイスコンフィギュレーションコマンドを使用します。インターフェイスからすべてまたは指定のアクセスグループを削除するには、このコマンドの no 形式を使用します。

ip access-group { access-list-number | name } { in | out }

no ip access-group [ access-list-number | name ] { in | out }

シンタックスの説明

access-list-number	IP アクセスコントロールリスト（ACL）の番号です。指定できる範囲は、1 ～ 199 または 1300 ～ 2699 です。
name	ip access-list グローバルコンフィギュレーションコマンドで指定された IP ACL 名です。
in	入力パケットに対するフィルタリングを指定します。
out	発信パケットに対するフィルタリングを指定します。このキーワードは、レイヤ 3 のインターフェイス上でのみ有効です。

デフォルト

アクセスリストは、インターフェイスには適用されません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。
12.2(52)SE	IP サービスイメージが実行されているスイッチに out キーワードが追加されました。

使用上のガイドライン

名前付きまたは番号付きの標準/拡張 IP アクセスリストをインターフェイスに適用できます。名前を付けてアクセスリストを定義するには、 ip access-list グローバルコンフィギュレーションコマンドを使用します。番号付きアクセスリストを定義するには、 access list グローバルコンフィギュレーションコマンドを使用します。1 ～ 99 および 1300 ～ 1999 の範囲の番号付き標準アクセスリスト、または 100 ～ 199 および 2000 ～ 2699 の範囲の番号付き拡張アクセスリストを使用できます。

このコマンドを使用し、アクセスリストをレイヤ 2 またはレイヤ 3 のインターフェイスに適用できます。ただし、レイヤ 2 のインターフェイス（ポート ACL）には、次のような制限があることに注意してください。

• ACL は受信方向のレイヤ 2 ポートにのみ適用できます。

• インターフェイスごとに 1 つの IP ACL と 1 つの MAC ACL のみを適用できます。

• レイヤ 2 のインターフェイスはロギングをサポートしていません。 log キーワードが IP ACL で指定された場合、無視されます。

• レイヤ 2 のインターフェイスに適用された IP ACL は、IP パケットのみをフィルタにかけます。非 IP パケットをフィルタリングするには、MAC 拡張 ACL とともに mac access-group インターフェイスコンフィギュレーションコマンドを使用します。

ユーザは同一のスイッチ上で、ルータ ACL、入力ポート ACL、VLAN マップを使用できます。ただし、ポートの ACL はルータの ACL、または VLAN マップより優先されます。

（注）ルータの ACL は IP サービスイメージが実行されているスイッチでのみサポートされます。

• 入力ポートの ACL がインターフェイスに適用され、さらにインターフェイスがメンバーとなっている VLAN に VLAN マップが適用された場合、ACL のポート上で受信した着信パケットは、そのポート ACL でフィルタリングされます。その他のパケットは、VLAN マップによってフィルタリングされます。

• 入力ルータの ACL および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタが適用されます。他のポートで受信した着信のルーティング IP パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。

• 出力ルータの ACL および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタが適用されます。発信するルーティング IP パケットには、ルータ ACL のフィルタが適用されます。他のパケットはフィルタリングされません。

• VLAN マップ、入力ルータの ACL、および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタのみが適用されます。他のポートで受信した着信のルーティング IP パケットには、VLAN マップおよびルータ ACL のフィルタが適用されます。他のパケットには、VLAN マップのフィルタのみ適用されます。

• VLAN マップ、出力ルータの ACL、および入力ポートの ACL が SVI に存在している場合、ポートの ACL が適用されたポート上で受信された着信パケットには、ポート ACL のフィルタのみが適用されます。発信するルーティング IP パケットには、VLAN マップおよびルータ ACL のフィルタが適用されます。他のパケットには、VLAN マップのフィルタのみ適用されます。

IP の ACL は、送信側または受信側のレイヤ 3 インターフェイス両方に適用できます。

レイヤ 3 のインターフェイスでは、IP の ACL を各方向に 1 つ適用できます。

VLAN インターフェイス上の各方向（入力および出力）に VLAN マップおよびルータの ACL を 1 つずつのみ設定できます。

標準入力アクセスリストでは、スイッチは、パケットを受信すると、パケットの送信元アドレスをアクセスリストに比較して検査します。IP 拡張アクセスリストでは、任意で、宛先 IP アドレス、プロトコルタイプ、ポート番号などのパケット内の他のフィールドを検査できます。アクセスリストがパケットを許可する場合に、スイッチはパケットの処理を続行します。アクセスリストがパケットを拒否する場合は、スイッチはそのパケットをドロップします。アクセスリストがレイヤ 3 のインターフェイスに適用された場合、パケットのドロップにともない（デフォルト設定）、インターネット制御メッセージプロトコル（ICMP）の Host Unreachable のメッセージが生成されます。ICMP Host Unreachable メッセージは、レイヤ 2 インターフェイスでドロップされたパケットに対しては生成されません。

通常の発信アクセスリストでは、パケットを受信して、それを制御されたインターフェイスへ送信したあと、スイッチがアクセスリストと照合することでパケットを確認します。アクセスリストがパケットを許可した場合、スイッチはパケットを送信します。アクセスリストがパケットを拒否した場合、スイッチはパケットをドロップし、デフォルトの設定では、ICMP Host Unreachable メッセージが生成されます。

指定したアクセスリストが存在しない場合は、すべてのパケットが通過します。

例

次の例では、ポートの入力パケットに IP アクセスリスト 101 を適用する方法を示します。

Switch(config)# interface gigabitethernet 1/1

Switch(config-if)# ip access-group 101 in

設定を確認するには、 show ip interface、show access-lists、 または show ip access-lists 特権 EXEC コマンドを入力します。

ip address

レイヤ 2 スイッチの IP アドレス、またはレイヤ 3 スイッチの各スイッチ仮想インターフェイス（SVI）またはルーテッドポートの IP アドレスを設定するには、 ip address インターフェイスコンフィギュレーションコマンドを使用します。IP アドレスを削除したり、IP 処理をディセーブルにしたりするには、このコマンドの no 形式を使用します。

ip address ip-address subnet-mask [ secondary ]

no ip address [ ip-address subnet-mask ] [ secondary ]

シンタックスの説明

ip-address	IP アドレス
subnet-mask	関連する IP サブネットのマスク
secondary	（任意）設定されたアドレスをセカンダリ IP アドレスに指定します。このキーワードが省略された場合、設定されたアドレスはプライマリ IP アドレスになります。

デフォルト

IP アドレスは定義されていません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

Telnet のセッションで、スイッチの IP アドレスを削除した場合、スイッチの接続が切断されます。

ホストは、Internet Control Message Protocol（ICMP; インターネット制御メッセージプロトコル）Mask Request メッセージを使用して、サブネットマスクを判別できます。ルータは、この要求に対して ICMP Mask Reply メッセージで応答します。

no ip address コマンドを使って IP アドレスを削除することで、特定のインターフェイス上の IP プロセスをディセーブルにできます。スイッチが、その IP アドレスのうちの 1 つを使用している他のホストを検出した場合、コンソールにエラーメッセージを送信します。

オプションで secondary キーワードを使用することで、セカンダリアドレスの番号を無制限に指定できます。システムがセカンダリの送信元アドレスのルーティングの更新以外にデータグラムを生成しないということを除けば、セカンダリアドレスはプライマリアドレスのように処理されます。IP ブロードキャストとアドレス解決プロトコル（ARP）要求は、IP ルーティングテーブル内のインターフェイスルートと同様に、適切に処理されます。

（注）ネットワークセグメント上のすべてのルータがセカンダリのアドレスを使用した場合、同一のセグメント上にある他のデバイスも、同一のネットワークまたはサブネットからセカンダリアドレスを使用しなければなりません。ネットワークセグメント上のセカンダリアドレスの使用に矛盾があると、ただちにルーティングループが引き起こされる可能性があります。

OSPF のルーティングの場合、インターフェイスのすべてのセカンダリアドレスが、プライマリアドレスと同一の OSPF 領域にあることを確認してください。

スイッチが、Bootstrap Protocol（BOOTP）または Dynamic Host Configured Protocol（DHCP）サーバから IP アドレスを受信し、そのスイッチ IP アドレスを no ip address コマンドで削除した場合、IP 処理はディセーブルとなり、BOOTP サーバまたは DHCP サーバが再びアドレスを割り当てることはできません。

レイヤ 3 スイッチは、各ルーテッドポートおよび SVI に割り当てられた IP アドレスを持つことができます。設定するルーテッドポートおよび SVI の数はソフトウェアでは制限されていません。ただし、この番号と設定された他の機能との相互関係によっては、ハードウェア制限により、CPU 使用率に影響がでる可能性があります。 sdm prefer グローバルコンフィギュレーションコマンドを使用し、システムのハードウェアリソースを、テンプレートおよび機能テーブルに基づいて再度割り当てることができます。詳細については、 sdm prefer コマンドを参照してください。

例

次の例では、サブネットネットワークでレイヤ 2 スイッチの IP アドレスを設定する方法を示します。

Switch(config)# interface vlan 1

Switch(config-if)# ip address 172.20.128.2 255.255.255.0

次の例では、レイヤ 3 スイッチ上のポートに IP アドレスを設定する方法を示します。

Switch(config)# ip multicast-routing

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# no switchport

Switch(config-if)# ip address 172.20.128.2 255.255.255.0

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

ip admission

Web 認証をイネーブルにするには、 ip admission インターフェイスコンフィギュレーションコマンドを使用します。このコマンドは、fallback-profile モードでも使用できます。Web 認証をディセーブルにするには、このコマンドの no 形式を使用します。

ip admission rule

no ip admission

シンタックスの説明

rule	IP アドミッションルールをインターフェイスに適用します。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

ip admission コマンドにより、スイッチポートに Web 認証ルールが適用されます。

例

次の例では、スイッチポートに Web 認証ルールを適用する方法を示します。

Switch# configure terminal

Switch(config)# interface gigabitethernet1/1/1

Switch(config-if)# ip admission rule1

次の例では、IEEE 802.1x 対応のスイッチポートで使用するフォールバックプロファイルに Web 認証ルールを適用する方法を示します。

Switch# configure terminal

Switch(config)# fallback profile profile1

Switch(config)# ip admission name rule1

Switch(config)# end

ip admission name proxy http

Web 認証をイネーブルにするには、 ip admission name proxy http グローバルコンフィギュレーションコマンドを使用します。Web 認証をディセーブルにするには、このコマンドの no 形式を使用します。

ip admission name proxy http

no ip admission name proxy htt p

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

Web 認証はディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

ip admission name proxy http コマンドにより、Web 認証がスイッチ上でグローバルにイネーブルになります。

スイッチ上で Web 認証をグローバルにイネーブルにしてから、ip access-group in および ip admission web-rule インターフェイスコンフィギュレーションコマンドを使用して、特定のインターフェイス上で Web 認証をイネーブルにします。

例

次の例では、スイッチポートで Web 認証のみを設定する方法を示します。

Switch# configure terminal

Switch(config) ip admission name http-rule proxy http

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# ip access-group 101 in

Switch(config-if)# ip admission rule

Switch(config-if)# end

次の例では、スイッチポートでのフォールバックメカニズムとして、Web 認証とともに IEEE 802.1x 認証を設定する方法を示します。

Switch# configure terminal

Switch(config)# ip admission name rule2 proxy http

Switch(config)# fallback profile profile1

Switch(config)# ip access group 101 in

Switch(config)# ip admission name rule2

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# dot1x port-control auto

Switch(config-if)# dot1x fallback profile1

Switch(config-if)# end

ip arp inspection filter vlan

ダイナミックアドレス解決プロトコル（ARP）インスペクションがイネーブルの場合にスタティック IP アドレスが設定されたホストからの ARP 要求と ARP 応答を許可または拒否するには、ip arp inspection filter vlan グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection filter arp-acl-name vlan vlan-range [ static ]

no ip arp inspection filter arp-acl-name vlan vlan-range [ static ]

シンタックスの説明

arp-acl-name

ARP アクセスコントロールリスト（ACL）の名前を指定します。

vlan-range

VLAN の番号または範囲を指定します。

static

（任意）ARP ACL 内の暗黙の拒否を明示的な拒否として取り扱い、ACL 内の前の句に一致しないパケットをドロップするために、 static を指定します。DHCP バインディングは使用されません。

このキーワードを指定しない場合は、パケットを拒否する明示的な拒否が ACL 内にないことを意味し、パケットが ACL 内の句に一致しないと DHCP バインディングがパケットの許可または拒否を決定します。

デフォルト

VLAN に適用される ARP ACL が定義されていません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

ARP ACL を VLAN に適用してダイナミック ARP インスペクションを行う場合は、IP/MAC バインディングを含む ARP パケットのみが ACL と比較されます。パケットが ACL で許可されると、スイッチはそのパケットを転送します。それ以外のタイプのパケットはすべて検証なしで入力 VLAN でブリッジングされます。

スイッチが ACL 内の明示的な拒否ステートメントによってパケットを拒否すると、パケットがドロップされます。スイッチが暗黙の拒否ステートメントによってパケットを拒否すると、パケットは DHCP バインディングのリストと照合されます。ただし、ACL が スタティック （パケットがバインディングと比較されない）である場合を除きます。

ARP ACL を定義、または定義済みのリストの末尾に句を追加するには、 arp access-list acl-name グローバルコンフィギュレーションコマンドを使用します。

例

次の例では、ダイナミック ARP インスペクション用に ARP ACL static-hosts を VLAN 1 に適用する方法を示します。

Switch(config)# ip arp inspection filter static-hosts vlan 1

設定を確認するには、 show ip arp inspection vlan 1 特権 EXEC コマンドを入力します。

ip arp inspection limit

インターフェイス上の着信アドレス解決プロトコル（ARP）要求および応答のレートを制限するには、ip arp inspection limit インターフェイスコンフィギュレーションコマンドを使用します。これにより、サービス拒絶攻撃が発生した場合にダイナミック ARP インスペクションにすべてのスイッチリソースが使用される点が回避されます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection limit { rate pps [ burst interval seconds ] | none }

no ip arp inspection limit

シンタックスの説明

rate pps	1 秒間に処理される着信パケット数の上限を指定します。指定できる範囲は 0 ～ 2048 Packets Per Second（pps; パケット/秒）です。
burst interval seconds	（任意）レートの高い ARP パケットの有無についてインターフェイスが監視される間隔（秒）を指定します。指定できる範囲は 1 ～ 15 秒です。
none	この値を指定すると、処理できる着信 ARP パケットのレートの上限が設定されません。

デフォルト

このレートは、信頼できないインターフェイス上で 15 pps に設定されています。ただし、1 台のホストが 1 秒間に 15 台の新規ホストに接続できるスイッチドネットワークであると仮定しています。

信頼できるすべてのインターフェイスでは、レートは無制限です。

バーストインターバルは 1 秒に設定されています。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

レートは、信頼できるインターフェイスおよび信頼できないインターフェイスの両方に適用されます。複数のダイナミック ARP インスペクション対応 VLAN でパケットを処理するようにトランクに適切なレートを設定するか、none キーワードを使用してレートを無制限にします。

いくつかのバースト期間にわたって設定された 1 秒間のレートを超えるパケットをスイッチが連続して受信すると、インターフェイスが errdisable ステートになります。

インターフェイス上のレート制限を明示的に設定しない限り、インターフェイスの信頼状態を変更することは、レート制限を信頼状態のデフォルト値に変更することになります。レート制限を設定すると、インターフェイスはその信頼状態が変更された場合でも設定されたレート制限を維持します。 no ip arp inspection limit インターフェイスコンフィギュレーションコマンドを入力すると、インターフェイスはデフォルトのレート制限に戻ります。

集約を反映するためにトランクポートのレートを高く設定する必要があります。着信パケットのレートがユーザ設定のレートを超えると、スイッチはインターフェイスを errdisable ステートにします。errdisable 回復機能により、回復設定に従ってポートが errdisable ステートから自動的に解除されます。

EtherChannel ポート上での着信 ARP パケットのレートは、すべてのチャネルメンバーからの着信 ARP パケットのレートの合計と同じになります。EtherChannel ポートのレート制限は、必ずすべてのチャネルメンバーの着信 ARP パケットのレートを調べてから設定してください。

例

次の例では、ポート上で着信 ARP 要求のレートを 25 pps に制限する方法とインターフェイス監視間隔を 5 秒に設定する方法を示します。

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# ip arp inspection limit rate 25 burst interval 5

設定を確認するには、 show ip arp inspection interfaces interface-id 特権 EXEC コマンドを入力します。

ip arp inspection log-buffer

ダイナミックアドレス解決プロトコル（ARP）インスペクションロギングバッファを設定するには、ip arp inspection log-buffer グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection log-buffer { entries number | logs number interval seconds }

no ip arp inspection log-buffer { entries | logs }

シンタックスの説明

entries number

バッファに記録されるエントリ数。指定できる範囲は 0 ～ 1024 です。

logs number interval seconds

指定されたシステムメッセージ生成間隔で必要なエントリの数を指定します。

logs number に指定できる範囲は 0 ～ 1024 です。値を 0 に設定すると、エントリはログバッファに配置されますが、システムメッセージが生成されません。

指定できる interval seconds の範囲は 0 ～ 86400 秒（1 日）です。値を 0 に設定すると、システムメッセージがただちに生成されます（ログバッファは常に空になります）。

デフォルト

ダイナミック ARP がイネーブル化されると、拒否またはドロップされた ARP パケットが記録されます。

ログエントリ数は、32 です。

システムメッセージの数は 1 秒あたり 5 つに制限されています。

ロギングレートインターバルは、1 秒です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

logs キーワードと interval キーワードのいずれにも値 0 は使用できません。

logs および interval の設定は、相互に作用します。 logs number X が interval seconds Y より大きい場合は、X を Y で割って（X/Y）求められたシステムメッセージ数が 1 秒間に送信されます。それ以外の場合は、Y を X で割って（Y/X）求められた間隔（秒）で 1 つのシステムメッセージが送信されます。たとえば、 logs number が 20、 interval seconds が 4 の場合は、ログバッファにエントリが存在するかぎり、スイッチから 1 秒間に 5 エントリ分のシステムメッセージが生成されます。

1 つのログバッファエントリは複数のパケットを表す場合があります。たとえば、インターフェイスが同じ ARP パラメータを使用して同じ VLAN 上で多数のパケットを受信した場合、スイッチはこれらのパケットを組み合わせて 1 つのエントリとしてログバッファに格納し、システムメッセージを 1 つのエントリとして生成します。

ログバッファのオーバーフローが発生すると、ログイベントがログバッファと整合しなくなり、 show ip arp inspection log 特権 EXEC コマンドの出力表示に影響が及びます。出力表示で、パケット数と時刻を除くすべてのデータが -- と表示されます。このエントリに関してそれ以外の統計情報は表示されません。このエントリに関する情報が表示されるようにするには、ログバッファ内のエントリの数を増やすか、またはロギングレートを高くします。

例

次の例では、エントリを 45 個まで保持できるようにログバッファを設定する方法を示します。

Switch(config)# ip arp inspection log-buffer entries 45

次の例では、ロギングレートを 4 秒あたり 20 ログエントリに設定する方法を示します。この設定では、ログバッファにエントリが存在する間は、スイッチから 1 秒間に 5 エントリ分のシステムメッセージが生成されます。

Switch(config)# ip arp inspection log-buffer logs 20 interval 4

設定を確認するには、 show ip arp inspection log 特権 EXEC コマンドを入力します。

ip arp inspection trust

どの着信アドレス解決プロトコル（ARP）パケットがインスペクションの対象となるかを判断できるインターフェイスの信頼状態を設定するには、ip arp inspection trust インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection trust

no ip arp inspection trust

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

インターフェイスは、信頼できない状態です。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

スイッチは、信頼できるインターフェイス上で受信した ARP パケットを確認せず、単純にパケットを転送します。

信頼できないインターフェイスの場合、スイッチはすべての ARP 要求と ARP 応答を代行受信します。ローカルキャッシュを更新し、該当する宛先にパケットを転送する前に、代行受信したパケットが有効な IP/MAC アドレスバインディングを持つかどうかを検証します。スイッチは、無効なパケットをドロップし、 ip arp inspection vlan logging グローバルコンフィギュレーションコマンドで指定されたロギング設定に従ってログバッファに記録します。

例

次の例では、ポートを信頼できる状態に設定する方法を示します。

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# ip arp inspection trust

設定を確認するには、 show ip arp inspection interfaces interface-id 特権 EXEC コマンドを入力します。

ip arp inspection validate

ダイナミックアドレス解決プロトコル（ARP）インスペクションに固有の検証を実行するには、ip arp inspection validate グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection validate {[ src-mac ] [ dst-mac ] [ ip [ allow zeros ]]}

no ip arp inspection validate [ src-mac ] [ dst-mac ] [ ip [ allow zeros ]]

シンタックスの説明

src-mac	イーサネットヘッダーの送信元 MAC アドレスを ARP 本文の送信元 MAC アドレスと比較します。この検証は、ARP 要求と ARP 応答に両方に対して実行されます。このチェックがイネーブルの場合、異なる MAC アドレスを持つパケットは無効として分類され、ドロップされます。
dst-mac	イーサネットヘッダーの宛先 MAC アドレスを ARP 本文の宛先 MAC アドレスと比較します。この検証は、ARP 応答に対して実行されます。このチェックがイネーブルの場合、異なる MAC アドレスを持つパケットは無効として分類され、ドロップされます。
ip	ARP 本文を比較して、無効な IP アドレスや予期しない IP アドレスがないかを確認します。0.0.0.0、255.255.255.255、およびすべての IP マルチキャストアドレスがこれに該当します。送信元 IP アドレスは、すべての ARP 要求と ARP 応答で比較されます。宛先 IP アドレスは ARP 応答でのみ検証されます。
allow-zeros	送信元アドレスが 0.0.0.0 の ARP（ARP プローブ）が拒否されないように IP 検証テストを変更します。

デフォルト

どの検証も実行されません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

少なくとも 1 つのキーワードを指定する必要があります。コマンドを実行するたびに、その前のコマンドの設定は上書きされます。つまり、コマンドが src-mac および dst-mac の検証をイネーブルにし、2 番目のコマンドが IP 検証のみをイネーブルにすると、2 番目のコマンドによって src-mac および dst-mac の検証がディセーブルになります。

allow-zeros キーワードは、次のように ARP アクセスコントロールリスト（ACL）と連携しています。

• ARP ACL が ARP プローブを拒否するように設定されている場合は、 allow-zero キーワードが指定されていても、ARP プローブはドロップされます。

• ARP プローブを明確に許可する ARP ACL を設定し、 ip arp inspection validate ip コマンドを設定する場合、 allow-zeros キーワードを入力しない限り、ARP プローブはドロップされます。

このコマンドが no 形式の場合は、指定された検証だけがディセーブルになります。これらのオプションがいずれもイネーブルになっていない場合は、すべての検証がディセーブルになります。

例

次の例では、送信元 MAC の検証をイネーブルにする方法を示します。

Switch(config)# ip arp inspection validate src-mac

設定を確認するには、 show ip arp inspection vlan vlan-range 特権 EXEC コマンドを入力します。

ip arp inspection vlan

VLAN 単位でダイナミックアドレス解決プロトコル（ARP）インスペクションをイネーブルにするには、ip arp inspection vlan グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip arp inspection vlan vlan-range

no ip arp inspection vlan vlan-range

シンタックスの説明

vlan-range

VLAN の番号または範囲を指定します。

デフォルト

すべての VLAN 上で ARP インスペクションがディセーブルになっています。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

ダイナミック ARP インスペクションをイネーブルにする VLAN を指定する必要があります。

ダイナミック ARP インスペクションは、アクセスポート、トランクポート、EtherChannel ポート、またはプライベート VLAN ポート上でサポートされています。

例

次の例では、VLAN 1 上でダイナミック ARP インスペクションをイネーブルにする方法を示します。

Switch(config)# ip arp inspection vlan 1

設定を確認するには、 show ip arp inspection vlan vlan-range 特権 EXEC コマンドを入力します。

ip arp inspection vlan logging

VLAN ごとにロギングするパケットのタイプを制御するには、ip arp inspection vlan logging グローバルコンフィギュレーションコマンドを使用します。このロギング制御をディセーブルにするには、このコマンドの no 形式を使用します。

ip arp inspection vlan vlan-range logging { acl-match { matchlog | none } | dhcp-bindings { all | none | permit } | arp-probe }

no ip arp inspection vlan vlan-range logging { acl-match | dhcp-bindings | arp-probe }

シンタックスの説明

vlan-range	ロギング用に設定する VLAN を指定します。 VLAN ID 番号で識別された 1 つの VLAN、それぞれをハイフンで区切った VLAN 範囲、またはカンマで区切った一連の VLAN を指定できます。指定できる範囲は 1 ～ 4094 です。
acl-match { matchlog \| none }	アクセスコントロールリスト（ACL）の照合条件に基づいてパケットをロギングするように指定します。キーワードの意味は次のとおりです。 • matchlog ：Access Control Entries（ACE）に指定されたロギング設定に基づいてパケットを記録します。このコマンドに matchlog キーワード、 permit または deny ARP アクセスリストコンフィギュレーションコマンドに log キーワードを指定すると、ACL によって許可または拒否されたアドレス解決プロトコル（ARP）パケットが記録されます。 • none ：ACL に一致するパケットを記録しません。
dhcp-bindings { permit \| all \| none }	Dynamic Host Configuration Protocol（DHCP）バインディングの照合条件に基づいてパケットをロギングするように指定します。キーワードの意味は次のとおりです。 • all ：DHCP バインディングに一致するすべてのパケットを記録します。 • none ：DHCP バインディングに一致するパケットを記録しません。 • permit ：DHCP バインディングに許可されたパケットを記録します。
arp-probe	ARP プローブとして明示的に許可されたパケットをロギングするように指定します。

デフォルト

拒否またはドロップされたパケットは、すべて記録されます。ARP プローブパケットは記録されません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

ロギングされる という表現は、エントリがログバッファに格納されることとシステムメッセージが生成されることを意味しています。

acl-match キーワードと dhcp-bindings キーワードは相互に関連しています。つまり、ACL の照合条件を設定しても、DHCP バインディングの設定がディセーブルになりません。ロギング基準をデフォルトにリセットするには、このコマンドの no 形式を使用します。いずれのオプションも指定しない場合は、ARP パケットが拒否されたときに、すべてのロギングタイプが記録されるようにリセットされます。オプションを次に示します。

• acl-match：ACL の照合条件に基づくロギングがリセットされ、拒否に基づくロギングが実行されます。

• dhcp-bindings：DHCP バインディングの照合条件に基づくロギングがリセットされ、拒否に基づくロギングが実行されます。

acl-match キーワードと dhcp-bindings キーワードのどちらも指定されないと、拒否されたすべてのパケットが記録されます。

ACL の末尾にある暗黙の拒否には、 log キーワードが含まれません。つまり、 ip arp inspection filter vlan グローバルコンフィギュレーションコマンドで static キーワードを使用した場合、ACL は DHCP バインディングを上書きします。ARP ACL の末尾で明示的に deny ip any mac any log ACE を指定しない限り、拒否された一部のパケットが記録されない場合があります。

例

次の例では、ACL 内の permit コマンドと一致するパケットを記録するように、VLAN 1 の ARP インスペクションを設定する方法を示します。

Switch(config)# arp access-list test1

Switch(config-arp-nacl)# permit request ip any mac any log

Switch(config-arp-nacl)# permit response ip any any mac any any log

Switch(config-arp-nacl)# exit

Switch(config)# ip arp inspection vlan 1 logging acl-match matchlog

設定を確認するには、 show ip arp inspection vlan vlan-range 特権 EXEC コマンドを入力します。

ip dhcp snooping

DHCP スヌーピングをグローバルにイネーブルにするには、 ip dhcp snooping グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping

no ip dhcp snooping

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

DHCP スヌーピングは、ディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

DHCP スヌーピング設定を有効にするには、DHCP スヌーピングをグローバルにイネーブルにする必要があります。

ip dhcp snooping vlan vlan-id グローバルコンフィギュレーションコマンドを使用して VLAN 上でスヌーピングをイネーブルにするまで DHCP スヌーピングはアクティブになりません。

例

次の例では、DHCP スヌーピングをイネーブルにする方法を示します。

Switch(config)# ip dhcp snooping

設定を確認するには、 show ip dhcp snooping ユーザ EXEC コマンドを入力します。

ip dhcp snooping binding

DHCP スヌーピングバインディングデータベースを設定し、バインディングエントリをデータベースに追加するには、 ip dhcp snooping binding 特権 EXEC コマンドを使用します。バインディングデータベースからエントリを削除するには、このコマンドの no 形式を使用します。

ip dhcp snooping binding mac-address vlan vlan-id ip-address interface interface-id expiry seconds

no ip dhcp snooping binding mac-address vlan vlan-id ip-address interface interface-id

シンタックスの説明

mac-address	MAC（メディアアクセス制御）アドレスを指定します。
vlan vlan-id	VLAN 番号を指定します。指定できる範囲は 1 ～ 4094 です。
ip-address	IP アドレスを指定します。
interface interface-id	バインディングエントリを追加または削除するインターフェイスを指定します。
expiry seconds	バインディングエントリが無効になるまでのインターバル（秒）を指定します。指定できる範囲は 1 ～ 4294967295 です。

デフォルト

デフォルトのデータベースは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、スイッチをテストまたはデバッグするときに使用します。

DHCP スヌーピングバインディングデータベースでは、各データベースエントリ（別名、バインディング）には、IP アドレス、関連付けられた MAC アドレス、リース時間（16 進数）、バインディングが適用されるインターフェイス、およびインターフェイスが所属する VLAN が含まれます。データベースには、8192 のバインディングを含めることができます。

設定されたバインディングだけを表示するには、 show ip dhcp snooping binding 特権 EXEC コマンドを使用します。動的および静的に設定されたバインディングを表示するには、 show ip source binding 特権 EXEC コマンドを使用します。

例

次の例では、VLAN 1 のポートに、有効期限が 1000 秒の DHCP バインディング設定を生成する方法を示します。

Switch# ip dhcp snooping binding 0001.1234.1234 vlan 1 172.20.50.5 interface gigabitethernet1/1 expiry 1000

設定を確認するには、 show ip dhcp snooping binding または show ip dhcp source binding 特権 EXEC コマンドを入力します。

ip dhcp snooping database

DHCP スヌーピングバインディングデータベースエージェントを設定するには、 ip dhcp snooping database グローバルコンフィギュレーションコマンドを使用します。エージェントのディセーブル化、タイムアウト値のリセット、または書き込み遅延値のリセットを行うには、このコマンドの no 形式を使用します。

ip dhcp snooping database {{ flash:/ filename | ftp:// user:password @host/filename | http: //[[username:password]@]{hostname | host-ip}[/directory]/image-name .tar | rcp:// user @host/filename | tftp:// host/filename } | timeout seconds | write-delay seconds }

no ip dhcp snooping database [ timeout | write-delay ]

シンタックスの説明

flash:/ filename	データベースエージェントまたはバインディングファイルがフラッシュメモリにあることを指定します。
ftp:// user : password @ host / filename	データベースエージェントまたはバインディングファイルが FTP サーバにあることを指定します。
http: //[[username:password]@] {hostname \| host-ip}[/directory] /image-name . tar	データベースエージェントまたはバインディングファイルが FTP サーバにあることを指定します。
rcp:// user @ host / filename	データベースエージェントまたはバインディングファイルが Remote Control Protocol（RCP）サーバにあることを指定します。
tftp:// host / filename	データベースエージェントまたはバインディングファイルが Trivial File Transfer Protocol（TFTP; 簡易ファイル転送プロトコル）サーバにあることを指定します。
timeout seconds	データベース転送プロセスを打ち切るまでの時間（秒）を指定します。デフォルト値は 300 秒です。指定できる範囲は 0 ～ 86400 です。無期限の期間を定義するには、0 を使用します。これは、転送を無期限に続けることを意味します。
write-delay seconds	バインディングデータベースが変更されたあとに、転送を遅らせる期間（秒）を指定します。デフォルト値は 300 秒です。指定できる範囲は 15 ～ 86400 です。

デフォルト

データベースエージェントまたはバインディングファイルの URL は、定義されていません。

タイムアウト値は、300 秒（5 分）です。

書き込み遅延値は、300 秒（5 分）です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

DHCP スヌーピングバインディングデータベースには、8192 のバインディングを含めることができます。

データベース内のリース時間を正確な時間にするには、Network Time Protocol（NTP; ネットワークタイムプロトコル）をイネーブルにし、次の機能を設定することを強く推奨します。

• NTP 認証

• NTP ピアおよびサーバアソシエーション

• NTP ブロードキャストサービス

• NTP アクセス制限

• NTP パケット送信元 IP アドレス

NTP が設定されている場合、スイッチのシステムクロックが NTP と同期化されたときにだけ、スイッチがバインディングの変更内容を書き込みます。

NVRAM（不揮発性 RAM）とフラッシュメモリの両方のストレージ容量には限りがあるため、バインディングファイルを TFTP サーバ上に保存することを推奨します。スイッチがネットワークベースの URL（TFTP や FTP など）の設定済み URL 内のバインディングファイルにバインディングを書き込む前に、この URL に空のファイルを作成しておく必要があります。

DHCP スヌーピングバインディングデータベースを NVRAM に保存するには、ip dhcp snooping database flash:/ filename コマンドを使用します。 ip dhcp snooping database timeout コマンドに 0 秒を指定し、データベースを TFTP ファイルに書き込んでいるときに、TFTP サーバがダウンした場合、データベースエージェントは転送を無期限に続けようとします。この転送が進行中の間、他の転送は開始されません。サーバがダウンしている場合、ファイルを書き込むことができないので、これはあまり重要ではありません。

エージェントをディセーブルにするには、no ip dhcp snooping databaseコマンドを使用します。

タイムアウト値をリセットするには、no ip dhcp snooping database timeout コマンドを使用します。

書き込み遅延値をリセットするには、no ip dhcp snooping database write-delay コマンドを使用します。

例

次の例では、IP アドレス 10.1.1.1 の directory という名前のディレクトリ内にバインディングファイルを保存する方法を示します。TFTP サーバに file という名前のファイルが存在しなければなりません。

Switch(config)# ip dhcp snooping database tftp://10.1.1.1/directory/file

次の例では、NVRAM に file01.txt というバインディングファイルを保存する方法を示します。

Switch(config)# ip dhcp snooping database flash:file01.txt

設定を確認するには、 show ip dhcp snooping database 特権 EXEC コマンドを入力します。

ip dhcp snooping information option

DHCP オプション 82 データ挿入をイネーブルにするには、 ip dhcp snooping information option グローバルコンフィギュレーションコマンドを使用します。DHCP オプション 82 データ挿入をディセーブルにするには、このコマンドの no 形式を使用します。

ip dhcp snooping information option

no ip dhcp snooping information option

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

DHCP オプション 82 データは挿入されます。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

DHCP スヌーピング設定を有効にするには、 ip dhcp snooping グローバルコンフィギュレーションコマンドを使用して DHCP スヌーピングをグローバルにイネーブルにする必要があります。

オプション 82 機能がイネーブルの場合、スイッチがホストからの DHCP 要求を受信すると、オプション 82 情報がパケットに追加されます。オプション 82 情報には、スイッチ MAC アドレス（リモート ID サブオプション）、およびパケットが受信された vlan-mod-port （回線 ID サブオプション）のポート ID が含まれます。スイッチは、オプション 82 フィールドを含む DHCP 要求を DHCP サーバに転送します。

DHCP サーバがパケットを受信する場合、リモート ID、回線 ID、または両方を使用して IP アドレスを割り当てるとともに、単一リモート ID または回線 ID に割り当てることができる IP アドレス値制限などのポリシーを適用できます。また、DHCP サーバは、DHCP 応答に含まれるオプション 82 フィールドをエコーします。

スイッチによって要求がサーバにリレーされた場合、DHCP サーバは応答をスイッチにユニキャストします。クライアントとサーバが同一サブネットにある場合、サーバは応答をブロードキャストします。スイッチは、リモート ID または回線 ID フィールドを検査し、オプション 82 データが最初から挿入されていたかを確認します。スイッチは、オプション 82 フィールドを削除し、DHCP 要求を送信した DHCP ホストに接続するスイッチポートにパケットを転送します。

例

次の例では、DHCP オプション 82 データ挿入をイネーブルにする方法を示します。

Switch(config)# ip dhcp snooping information option

設定を確認するには、 show ip dhcp snooping ユーザ EXEC コマンドを入力します。

ip dhcp snooping information option allow-untrusted

エッジスイッチに接続されている信頼できないポート上で受信された DHCP パケット（オプション 82 情報が含まれている）を受け入れるようにアグリゲーションスイッチを設定するには、アグリゲーションスイッチ上で ip dhcp snooping information option allow-untrusted グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping information option allow-untrusted

no ip dhcp snooping information option allow-untrusted

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

スイッチは、エッジスイッチに接続されている信頼できないポートで受信する、オプション 82 情報を持つ DHCP パケットをドロップします。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

ホストに接続されたエッジスイッチが、ネットワークのエッジで DHCP オプション 82 情報を挿入するように設定したい場合があります。また集約スイッチでは、DHCP スヌーピング、IP ソースガード、またはダイナミックアドレス解決プロトコル（ARP）インスペクションなどの DHCP セキュリティ機能をイネーブルにすることもできます。ただし、アグリゲーションスイッチで DHCP スヌーピングをイネーブルにすると、スイッチは信頼できないポートで受信されたオプション 82 情報を持つパケットをドロップし、信頼できるインターフェイスに接続されたデバイスの DHCP スヌーピングバインディングを学習しません。

ホストに接続されたエッジスイッチがオプション 82 情報を挿入する場合に、アグリゲーションスイッチで DHCP スヌーピングを使用するには、アグリゲーションスイッチで ip dhcp snooping information option allow-untrusted コマンドを入力します。アグリゲーションスイッチは信頼できないポートで DHCP スヌーピングパケットを受信しますが、ホストのバインディングを学習できます。アグリゲーションスイッチで DHCP セキュリティ機能をイネーブルにすることも可能です。アグリゲーションスイッチが接続されているエッジスイッチ上のポートは、信頼できるポートとして設定する必要があります。

（注）信頼できないデバイスが接続されたアグリゲーションスイッチに ip dhcp snooping information option allow-untrusted コマンドを入力しないでください。このコマンドを入力すると、信頼できないデバイスがオプション 82 情報をスプーフィングする可能性があります。

例

次の例では、アクセススイッチが、エッジスイッチからの信頼できないパケットのオプション 82 情報を確認せずに、パケットを受け入れるように設定する方法を示します。

Switch(config)# ip dhcp snooping information option allow-untrusted

設定を確認するには、 show ip dhcp snooping ユーザ EXEC コマンドを入力します。

ip dhcp snooping information option format remote-id

オプション 82 リモート ID サブオプションを設定するには、 ip dhcp snooping information option format remote-id グローバルコンフィギュレーションコマンドを使用します。デフォルトのリモート ID サブオプションを設定するには、このコマンドの no 形式を使用します。

ip dhcp snooping information option format remote-id [string ASCII-string | hostname]

no ip dhcp snooping information option format remote-id

（注）このコマンドは IP サービスイメージが実行されているスイッチでのみサポートされます。

シンタックスの説明

string ASCII-string	1 ～ 63 の ASCII 文字（スペースなし）を使用して、リモート ID を指定します。
hostname	スイッチのホスト名をリモート ID として指定します。

デフォルト

スイッチの MAC アドレスは、リモート ID です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

オプション 82 機能がイネーブルの場合、デフォルトのリモート ID サブオプションはスイッチの MAC アドレスです。このコマンドにより、スイッチのホスト名または 63 文字までの ASCII 文字列（スペースは不可）のいずれかをリモート ID に設定できます。

（注）ホスト名が 63 文字を超える場合、リモート ID 設定では 63 文字以降は省略されます。

例

次の例では、オプション 82 リモート ID サブオプションを設定する方法を示します。

Switch(config)# ip dhcp snooping information option format remote-id hostname

設定を確認するには、 show ip dhcp snooping ユーザ EXEC コマンドを入力します。

ip dhcp snooping limit rate

インターフェイスが 1 秒間に受信できる DHCP メッセージの数を設定するには、 ip dhcp snooping limit rate インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping limit rate rate

no ip dhcp snooping limit rate

シンタックスの説明

rate

インターフェイスが 1 秒あたりに受信することのできる DHCP メッセージの数。指定できる範囲は 1 ～ 2048 です。

デフォルト

DHCP スヌーピングレート制限は、ディセーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

通常、レート制限は信頼できないインターフェイスに適用されます。信頼できるインターフェイスのレート制限を設定する場合、信頼できるインターフェイスはスイッチ内の複数の VLAN 上（一部はスヌーピングされない場合があります）の DHCP トラフィックを集約するので、インターフェイスレート制限を高い値に調整する必要があることに注意してください。

レート制限を超えた場合、インターフェイスが errdisable になります。 errdisable recovery dhcp-rate-limit グローバルコンフィギュレーションコマンドを入力してエラー回復をイネーブルにした場合、インターフェイスはすべての原因が時間切れになった際に動作を再試行します。エラー回復メカニズムがイネーブルでない場合、 shutdown および no shutdown インターフェイスコンフィギュレーションコマンドを入力するまでインターフェイスは errdisable ステートのままです。

例

次の例は、インターフェイス上でメッセージレート制限を 1 秒あたり 150 メッセージに設定する方法を示します。

Switch(config-if)# ip dhcp snooping limit rate 150

設定を確認するには、 show ip dhcp snooping ユーザ EXEC コマンドを入力します。

ip dhcp snooping trust

DHCP スヌーピングを実行するためにポートを信頼できるポートとして設定するには、 ip dhcp snooping trust インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping trust

no ip dhcp snooping trust

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

DHCP スヌーピング信頼は、ディセーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

DHCP サーバ、その他のスイッチ、またはルータに接続されたポートを信頼できるポートとして設定します。DHCP クライアントに接続されたポートを信頼できないポートとして設定します。

例

次の例では、ポート上に DHCP スヌーピング信頼をイネーブルにする方法を示します。

Switch(config-if)# ip dhcp snooping trust

設定を確認するには、 show ip dhcp snooping ユーザ EXEC コマンドを入力します。

ip dhcp snooping verify

DHCP パケットの送信元 MAC アドレスがクライアントのハードウェアアドレスと一致していることを信頼できないポート上で確認するようにスイッチを設定するには、 ip dhcp snooping verify グローバルコンフィギュレーションコマンドを使用します。スイッチが MAC アドレスを確認しないように設定するには、このコマンドの no 形式を使用します。

ip dhcp snooping verify mac-address

no ip dhcp snooping verify mac-address

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

スイッチは、パケットのクライアントハードウェアアドレスと一致する信頼されないポートで受信した DHCP パケットの送信元 MAC アドレスを確認します。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

サービスプロバイダーネットワークで、スイッチが信頼できないポートの DHCP クライアントからパケットを受信した場合、スイッチは自動的に送信元 MAC アドレスと DHCP クライアントハードウェアアドレスが一致するかを確認します。アドレスが一致する場合、スイッチはパケットを転送します。アドレスが一致しない場合、スイッチはパケットをドロップします。

例

次の例では、MAC アドレス確認をディセーブルにする方法を示します。

Switch(config)# no ip dhcp snooping verify mac-address

設定を確認するには、 show ip dhcp snooping ユーザ EXEC コマンドを入力します。

ip dhcp snooping vlan

DHCP スヌーピングを VLAN 上でイネーブルにするには、 ip dhcp snooping vlan グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip dhcp snooping vlan vlan-range

no ip dhcp snooping vlan vlan-range

シンタックスの説明

vlan-range

DHCP スヌーピングをイネーブルにする VLAN ID または VLAN 範囲を指定します。指定できる範囲は 1 ～ 4094 です。

VLAN ID 番号によって特定される単一の VLAN ID、それぞれをカンマで区切った一連の VLAN ID、ハイフンを間に挿入した VLAN ID の範囲、または先頭および末尾の VLAN ID で区切られた VLAN ID の範囲を入力できます。これらはスペースで区切ります。

デフォルト

すべての VLAN 上で DHCP スヌーピングがディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

VLAN 上で DHCP スヌーピングをイネーブルにする前に、まず DHCP スヌーピングをグローバルにイネーブルにする必要があります。

例

次の例では、DHCP スヌーピングを VLAN 10 でイネーブルにする方法を示します。

Switch(config)# ip dhcp snooping vlan 10

設定を確認するには、 show ip dhcp snooping ユーザ EXEC コマンドを入力します。

ip dhcp snooping vlan information option format-type circuit-id string

オプション 82 回線 ID サブオプションを設定するには、 ip dhcp snooping vlan information option format-type circuit-id string インターフェイスコンフィギュレーションコマンドを使用します。デフォルトのサーキット ID サブオプションを設定するには、このコマンドの no 形式を使用します。

ip dhcp snooping vlan vlan-id information option format-type circuit-id [override] string ASCII-string

no ip dhcp snooping vlan vlan-id information option format-type circuit-id [override] string

（注）このコマンドは IP サービスイメージが実行されているスイッチでのみサポートされます。

シンタックスの説明

vlan vlan-id	VLAN ID を指定します。指定できる範囲は 1 ～ 4094 です。
override	（任意）上書きする ASCII 文字を 3 ～ 63 文字指定します（スペース不可）。
string ASCII-string	3 ～ 63 文字の ASCII 文字（スペースなし）を使用して、サーキット ID を指定します。

デフォルト

vlan-mod-port 形式のスイッチ VLAN およびポート ID は、デフォルトのサーキット ID です。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

オプション 82 機能がイネーブルの場合、デフォルトのサーキット ID サブオプションは、 vlan-mod-port 形式のスイッチ VLAN およびポート ID です。このコマンドを使用すると、サーキット ID となる ASCII 文字列を設定できます。vlan-mod-port フォーマットタイプを上書きし、代わりにサーキット ID を使用してサブスクライバ情報を定義する場合は、override キーワードを使用します。

（注）スイッチ上で文字数の多いサーキット ID を設定する場合、NVRAM（不揮発性 RAM）またはフラッシュメモリに長い文字列が与える影響を考慮してください。サーキット ID 設定がその他のデータと組み合わされた場合、NVRAM またはフラッシュメモリの容量を超えてしまい、エラーメッセージが表示されます。

例

次の例では、オプション 82 サーキット ID サブオプションを設定する方法を示します。

Switch(config-if)# ip dhcp snooping vlan 250 information option format-type circuit-id string customerABC-250-0-0

次の例では、オプション 82 サーキット ID 上書きサブオプションを設定する方法を示します。

Switch(config-if)# ip dhcp snooping vlan 250 information option format-type circuit-id override string testcustomer

設定を確認するには、 show ip dhcp snooping ユーザ EXEC コマンドを入力します。

（注）リモート ID 設定を含むグローバルコマンド出力だけを表示するには、show ip dhcp snooping ユーザ EXEC コマンドを使用します。サーキット ID として設定したインターフェイス単位または VLAN 単位の文字列は表示されません。

ip igmp filter

Internet Group Management Protocol（IGMP; インターネットグループ管理プロトコル）プロファイルをインターフェイスに適用して、レイヤ 2 インターフェイス上のすべてのホストが 1 つまたは複数の IP マルチキャストグループに加入できるかどうかを制御するには、 ip igmp filter インターフェイスコンフィギュレーションコマンドを使用します。インターフェイスから指定されたプロファイルを削除するには、このコマンドの no 形式を使用します。

ip igmp filter profile number

no ip igmp filter

シンタックスの説明

profile number

適用する IGMP プロファイル番号。指定できる範囲は 1 ～ 4294967295 です。

デフォルト

IGMP のフィルタは適用されていません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

IGMP フィルタはレイヤ 2 の物理インターフェイスのみに適用できます。ルーテッドポート、スイッチ仮想インターフェイス（SVI）、または EtherChannel グループに属するポートに対して IGMP フィルタを適用することはできません。

IGMP のプロファイルは 1 つまたは複数のポートインターフェイスに適用できますが、1 つのポートに対して 1 つのプロファイルのみ適用できます。

例

次の例では、IGMP プロファイル 22 をポートに適用する方法を示します。

Switch(config)# interface gigabitethernet1/2

Switch(config-if)# ip igmp filter 22

設定を確認するには、 show running-config 特権 EXEC コマンドを使用してインターフェイスを指定します。

ip igmp max-groups

レイヤ 2 インターフェイスが加入可能なインターネットグループ管理プロトコル（IGMP）グループの最大数を設定したり、転送テーブル内でエントリが最大数に達した場合の IGMP スロットリング動作を設定したりするには、 ip igmp max-groups インターフェイスコンフィギュレーションコマンドを使用します。最大数をデフォルト値（無制限）に戻すか、デフォルトのスロットリングアクション（レポートをドロップ）に戻すには、このコマンドの no 形式を使用します。

ip igmp max-groups { number | action { deny | replace }}

no ip igmp max-groups { number | action }

シンタックスの説明

number	インターフェイスが参加できる IGMP グループの最大数。指定できる範囲は 0 ～ 4294967294 です。デフォルト設定は無制限です。
action deny	エントリの最大数が IGMP スヌーピング転送テーブルにある場合は、次の IGMP 加入レポートをドロップします。これがデフォルトのアクションになります。
action replace	最大数のエントリが IGMP スヌーピング転送テーブルにある場合、IGMP レポートを受信した既存のグループを新しいグループに置き換えます。

デフォルト

デフォルトの最大グループ数は制限なしです。

インターフェイス上に IGMP グループエントリの最大数があることをスイッチが学習したあとの、デフォルトのスロットリングアクションでは、インターフェイスが受信する次の IGMP レポートをドロップし、インターフェイスに IGMP グループのエントリを追加しません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、レイヤ 2 物理インターフェイスおよび論理 EtherChannel インターフェイスでのみ使用できます。ルーテッドポート、スイッチ仮想インターフェイス（SVI）、または EtherChannel グループに属するポートに対して IGMP 最大グループ数を設定することはできません。

IGMP スロットリングアクションを設定する場合には、次の注意事項に従ってください。

• スロットリングアクションを deny として設定して最大グループ制限を設定する場合、以前転送テーブルにあったエントリは、削除されませんが期限切れになります。これらのエントリの期限が切れたあとで、エントリの最大数が転送テーブルにある場合は、インターフェイス上で受信された次の IGMP レポートをスイッチがドロップします。

• スロットリングアクションを replace として設定して最大グループ制限を設定する場合、以前転送テーブルにあったエントリは削除されます。最大数のエントリが転送テーブルにある場合、スイッチはランダムに選択したマルチキャストエントリを受信した IGMP レポートと置き換えます。

• 最大グループ制限がデフォルト（制限なし）に設定されている場合、 ip igmp max-groups { deny | replace } コマンドを入力しても無効です。

例

次の例では、ポートが加入できる IGMP グループ数を 25 に制限する方法を示します。

Switch(config)# interface gigabitethernet1/2

Switch(config-if)# ip igmp max-groups 25

次の例では、転送テーブル内でエントリが最大数に達した場合に IGMP レポートが受信された既存のグループを新規のグループに置換するようにスイッチを設定する方法を示します。

Switch(config)# interface gigabitethernet1/2

Switch(config-if)# ip igmp max-groups action replace

設定を確認するには、 show running-config 特権 EXEC コマンドを使用してインターフェイスを指定します。

ip igmp profile

インターネットグループ管理プロトコル（IGMP）プロファイルを作成し、IGMP プロファイルコンフィギュレーションモードを開始するには、 ip igmp profile グローバルコンフィギュレーションコマンドを使用します。このモードで、スイッチポートからの IGMP メンバシップレポートをフィルタリングするための IGMP プロファイルの設定を指定できます。IGMP プロファイルを削除するには、このコマンドの no 形式を使用します。

ip igmp profile profile number

no ip igmp profile profile number

シンタックスの説明

profile number

設定する IGMP プロファイル番号。指定できる範囲は 1 ～ 4294967295 です。

デフォルト

IGMP プロファイルは定義されていません。設定された場合、デフォルトの IGMP プロファイルとの一致機能は、一致するアドレスを拒否する設定になります。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

IGMP プロファイルコンフィギュレーションモードでは、次のコマンドを使用することでプロファイルを作成できます。

• deny ：一致するアドレスを拒否します（デフォルト設定の状態）。

• exit ：IGMP プロファイルコンフィギュレーションモードを終了します。

• no ：コマンドを無効にするか、デフォルト設定に戻します。

• permit ：一致するアドレスを許可します。

• range ：プロファイルに対する IP アドレスの範囲を指定します。1 つの IP アドレス、またはアドレスの最初と最後で範囲を指定することもできます。

範囲を入力する場合、低い方の IP マルチキャストアドレスを入力してからスペースを入力し、次に高い方の IP マルチキャストアドレスを入力します。

IGMP のプロファイルを、1 つまたは複数のレイヤ 2 インターフェイスに適用できますが、各インターフェイスに適用できるプロファイルは 1 つのみです。

例

次の例では、IP マルチキャストアドレスの範囲を指定した IGMP プロファイル 40 の設定方法を示します。

Switch(config)# ip igmp profile 40

Switch(config-igmp-profile)# permit

Switch(config-igmp-profile)# range 233.1.1.1 233.255.255.255

設定を確認するには、 show ip igmp profile 特権 EXEC コマンドを入力します。

ip igmp snooping

インターネットグループ管理プロトコル（IGMP）スヌーピングをスイッチ上でグローバルにイネーブルにするか、または VLAN 単位でイネーブルにするには、 ip igmp snooping グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping [ vlan vlan-id ]

no ip igmp snooping [ vlan vlan-id ]

シンタックスの説明

vlan vlan-id

（任意）指定された VLAN で IGMP スヌーピングをイネーブルにします。指定できる範囲は 1 ～ 1001 または 1006 ～ 4094 です。

デフォルト

スイッチ上で、IGMP スヌーピングはグローバルにイネーブルです。

VLAN インターフェイス上で、IGMP スヌーピングはイネーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

IGMP スヌーピングがグローバルにイネーブルである場合は、すべての既存 VLAN インターフェイスでイネーブルになります。IGMP スヌーピングがグローバルにディセーブルである場合、すべての既存 VLAN インターフェイスで IGMP スヌーピングがディセーブルになります。

VLAN ID 1002 ～ 1005 は、トークンリングおよび FDDI VLAN に予約されていて、IGMP スヌーピングでは使用できません。

例

次の例では、IGMP スヌーピングをグローバルにイネーブルにする方法を示します。

Switch(config)# ip igmp snooping

次の例では、IGMP スヌーピングを VLAN 1 でイネーブルにする方法を示します。

Switch(config)# ip igmp snooping vlan 1

設定を確認するには、 show ip igmp snooping 特権 EXEC コマンドを入力します。

ip igmp snooping last-member-query-interval

インターネットグループ管理プロトコル（IGMP）の設定可能な Leave タイマーをグローバルにイネーブルにするか、または VLAN 単位でイネーブルにするには、 ip igmp snooping last-member-query-interval グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping [ vlan vlan-id ] last-member-query-interval time

no ip igmp snooping [ vlan vlan-id ] last-member-query-interval

シンタックスの説明t

vlan vlan-id	（任意）指定された VLAN で IGMP スヌーピングおよび Leave タイマーをイネーブルにします。指定できる範囲は 1 ～ 1001 または 1006 ～ 4094 です。
time	秒単位のタイムアウト間隔。指定できる範囲は 100 ～ 32768 ミリ秒です。

デフォルト

デフォルトのタイムアウト設定は 1000 ミリ秒です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

IGMP スヌーピングがグローバルにイネーブルである場合は、IGMP スヌーピングはすべての既存 VLAN インターフェイスでイネーブルになります。IGMP スヌーピングがグローバルにディセーブルである場合は、IGMP スヌーピングはすべての既存 VLAN インターフェイスでディセーブルになります。

VLAN ID 1002 ～ 1005 は、トークンリングおよび FDDI VLAN に予約されていて、IGMP スヌーピングでは使用できません。

VLAN 上に Leave タイマーを設定すると、グローバル設定を上書きします。

IGMP の設定可能な Leave タイムは、IGMP バージョン 2 を実行しているデバイス上でのみサポートされています。

設定は NVRAM に保存されます。

例

次の例では、IGMP Leave タイマーを 2000 ミリ秒でグローバルにイネーブルにする方法を示します。

Switch(config)# ip igmp snooping last-member-query-interval 2000

次の例では、VLAN 1 上で IGMP Leave タイマーを 3000 ミリ秒に設定する方法を示します。

Switch(config)# ip igmp snooping vlan 1 last-member-query-interval 3000

設定を確認するには、 show ip igmp snooping 特権 EXEC コマンドを入力します。

ip igmp snooping querier

レイヤ 2 ネットワークのインターネットグループ管理プロトコル（IGMP）クエリア機能をグローバルにイネーブルにするには、 ip igmp snooping querier グローバルコンフィギュレーションコマンドを使用します。キーワードとともにコマンドを入力すると、VLAN インターフェイスの IGMP クエリア機能をイネーブルにし、設定できます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

no ip igmp snooping querier [ vlan vlan-id ] [ address | max-response-time | query-interval | tcn query { count count | interval interval } | timer expiry | version ]

シンタックスの説明

vlan vlan-id	（任意）指定された VLAN で IGMP スヌーピングおよび IGMP クエリア機能をイネーブルにします。指定できる範囲は 1 ～ 1001 または 1006 ～ 4094 です。
address ip-address	（任意）送信元 IP アドレスを指定します。IP アドレスを指定しない場合、クエリアは IGMP クエリアに設定されたグローバル IP アドレスを使用します。
max-response-time response-time	（任意）IGMP クエリアレポートを待機する最長時間を設定します。指定できる範囲は 1 ～ 25 秒です。
query-interval interval-count	（任意）IGMP クエリアの間隔を設定します。指定できる範囲は 1 ～ 18000 秒です。
tcn query[count count \| interval interval ]	（任意）Topology Change Notification（TCN; トポロジ変更通知）に関連するパラメータを設定します。キーワードの意味は次のとおりです。 • count count： TCN の間隔中に実行する TCN クエリーの数を設定します。指定できる範囲は 1 ～ 10 です。 • interval interval： TCN クエリーの時間間隔を設定します。指定できる範囲は 1 ～ 255 です。
timer expiry	（任意）IGMP クエリアが期限切れになるまでの時間の長さを設定します。指定できる範囲は 60 ～ 300 秒です。
version version	（任意）クエリア機能が使用する IGMP バージョン番号を選択します。選択できる番号は 1 または 2 です。

デフォルト

IGMP スヌーピングクエリア機能は、スイッチでグローバルにイネーブルです。

イネーブルになっている場合、マルチキャスト対応デバイスから IGMP トラフィックを検出すると、IGMP スヌーピングクエリアはディセーブルになります。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

クエリア とも呼ばれる IGMP クエリーメッセージを送信するデバイスの IGMP バージョンおよび IP アドレスを検出するために IGMP スヌーピングをイネーブルにするには、このコマンドを使用します。

デフォルトでは、IGMP スヌーピングクエリアは、IGMP バージョン 2 （IGMPv2）を使用するデバイスを検出するよう設定されていますが、IGMP バージョン 1 （IGMPv1）を使用しているクライアントは検出しません。デバイスが IGMPv2 を使用している場合、 max-response-time 値を手動で設定できます。デバイスが IGMPv1 を使用している場合は、 max-response-time を設定できません（値を設定できず、0 に設定されています）。

IGMPv1 を実行している RFC に準拠していないデバイスは、 max-response-time 値としてゼロ以外の値を持つ IGMP 一般クエリーメッセージを拒否することがあります。デバイスで IGMP 一般クエリーメッセージを受け入れる場合、IGMP スヌーピングクエリアが IGMPv1 を実行するように設定します。

VLAN ID 1002 ～ 1005 は、トークンリングおよび FDDI VLAN に予約されていて、IGMP スヌーピングでは使用できません。

例

次の例では、IGMP スヌーピングクエリア機能をグローバルにイネーブルにする方法を示します。

Switch(config)# ip igmp snooping querier

次の例では、IGMP スヌーピングクエリアの最大応答時間を 25 秒に設定する方法を示します。

Switch(config)# ip igmp snooping querier max-response-time 25

次の例では、IGMP スヌーピングクエリアの時間間隔を 60 秒に設定する方法を示します。

Switch(config)# ip igmp snooping querier query-interval 60

次の例では、IGMP スヌーピングクエリアの TCN クエリーカウントを 25 に設定する方法を示します。

Switch(config)# ip igmp snooping querier tcn count 25

次の例では、IGMP スヌーピングクエリアのタイムアウトを 60 秒に設定する方法を示します。

Switch(config)# ip igmp snooping querier timeout expiry 60

次の例では、IGMP スヌーピングクエリア機能をバージョン 2 に設定する方法を示します。

Switch(config)# ip igmp snooping querier version 2

設定を確認するには、 show ip igmp snooping 特権 EXEC コマンドを入力します。

ip igmp snooping report-suppression

インターネットグループ管理プロトコル（IGMP）レポート抑制をイネーブルにするには、 ip igmp snooping report-suppression グローバルコンフィギュレーションコマンドを使用します。IGMP レポート抑制をディセーブルにして、すべての IGMP レポートをマルチキャストルータへ転送するには、このコマンドの no 形式を使用します。

ip igmp snooping report-suppression

no ip igmp snooping report-suppression

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

IGMP レポート抑制はイネーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

IGMP レポート抑制は、マルチキャストクエリーに IGMPv1 レポートと IGMPv2 レポートがある場合にだけサポートされます。この機能は、クエリーに IGMPv3 レポートが含まれている場合はサポートされません。

スイッチは IGMP レポート抑制を使用して、マルチキャストルータクエリーごとに IGMP レポートを 1 つだけマルチキャストデバイスに転送します。IGMP ルータ抑制がイネーブル（デフォルト）である場合、スイッチは最初の IGMP レポートをグループのすべてのポートからすべてのマルチキャストルータに送信します。スイッチは、グループの残りの IGMP レポートをマルチキャストルータに送信しません。この機能により、マルチキャストデバイスにレポートが重複して送信されることを防ぎます。

マルチキャストルータクエリーに IGMPv1 および IGMPv2 レポートに対する要求のみが含まれている場合、スイッチは最初の IGMPv1 レポートまたは IGMPv2 レポートのみを、グループのすべてのホストからすべてのマルチキャストルータに送信します。マルチキャストルータクエリーに IGMPv3 レポートの要求も含まれる場合は、スイッチはグループのすべての IGMPv1、IGMPv2、および IGMPv3 レポートをマルチキャストデバイスに転送します。

no ip igmp snooping report-suppression コマンドを入力して IGMP レポート抑制をディセーブルにした場合、すべての IGMP レポートがすべてのマルチキャストルータに送信されます。

例

次の例では、レポート抑制をディセーブルにする方法を示します。

Switch(config)# no ip igmp snooping report-suppression

設定を確認するには、 show ip igmp snooping 特権 EXEC コマンドを入力します。

ip igmp snooping tcn

インターネットグループ管理プロトコル（IGMP）トポロジ変更通知（TCN）の動作を設定するには、 ip igmp snooping tcn グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping tcn { flood query count count | query solicit }

no ip igmp snooping tcn { flood query count | query solicit }

シンタックスの説明

flood query count count	マルチキャストトラフィックがフラッディングする IGMP の一般的クエリー数を指定します。指定できる範囲は 1 ～ 10 です。
query solicit	TCN イベント中に発生したフラッドモードから回復するプロセスの速度を上げるために、IGMP 脱退メッセージ（グローバル脱退）を送信します。

デフォルト

TCN フラッドクエリーカウントは 2 です。

TCN クエリー要求はディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

TCN イベント後にマルチキャストトラフィックがフラッディングする時間を制御するには、 ip igmp snooping tcn flood query count グローバルコンフィギュレーションコマンドを使用します。 ip igmp snooping tcn flood query count コマンドを使用して TCN フラッドクエリーカウントを 1 に設定した場合、1 つの一般的クエリーの受信後にフラッディングが停止します。カウントを 7 に設定すると、TCN イベントによるマルチキャストトラフィックのフラッディングは、7 つの一般的クエリーを受信するまで継続します。グループは、TCN イベント中に受信した一般的クエリーに基づいて学習されます。

スパニングツリールートかどうかにかかわらず、グローバル脱退メッセージを送信するようにスイッチをイネーブルにするには、 ip igmp snooping tcn query solicit グローバルコンフィギュレーションコマンドを使用します。また、このコマンドは、TCN イベント中に発生したフラッドモードから回復するプロセスの速度を上げます。

例

次の例では、マルチキャストトラフィックがフラッディングする IGMP の一般的クエリー数を 7 に指定する方法を示します。

Switch(config)# no ip igmp snooping tcn flood query count 7

設定を確認するには、 show ip igmp snooping 特権 EXEC コマンドを入力します。

ip igmp snooping tcn flood

マルチキャストフラッディングをインターネットグループ管理プロトコル（IGMP）スヌーピングスパニングツリートポロジ変更通知（TCN）の動作として設定するには、 ip igmp snooping tcn flood インターフェイスコンフィギュレーションコマンドを使用します。マルチキャストフラッディングをディセーブルにするには、このコマンドの no 形式を使用します。

ip igmp snooping tcn flood

no ip igmp snooping tcn flood

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

マルチキャストフラッディングは、スパニングツリー TCN のイベント中、インターフェイス上でイネーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

スイッチが TCN を受信すると、2 つの一般的なクエリーが受信されるまで、マルチキャストトラフィックはすべてのポートに対してフラッディングします。異なるマルチキャストグループに加入している接続ホストを持つポートがスイッチに多数ある場合、フラッディングがリンクの容量を超過し、パケット損失を招くことがあります。

ip igmp snooping tcn flood query count count グローバルコンフィギュレーションコマンドを使用して、フラッディングクエリーカウントを変更できます。

例

次の例では、インターフェイス上でマルチキャストフラッディングをディセーブルにする方法を示します。

Switch(config)# interface gigabitethernet1/2

Switch(config-if)# no ip igmp snooping tcn flood

設定を確認するには、 show ip igmp snooping 特権 EXEC コマンドを入力します。

ip igmp snooping vlan immediate-leave

VLAN 単位でインターネットグループ管理プロトコル（IGMP）スヌーピング即時脱退処理をイネーブルにするには、 ip igmp snooping immediate-leave グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping vlan vlan-id immediate-leave

no ip igmp snooping vlan vlan-id immediate-leave

シンタックスの説明

vlan-id

（任意）指定された VLAN で IGMP スヌーピングおよび即時脱退機能をイネーブルにします。指定できる範囲は 1 ～ 1001 または 1006 ～ 4094 です。

デフォルト

IGMP の即時脱退処理はディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

VLAN ID 1002 ～ 1005 は、トークンリングおよび FDDI VLAN に予約されていて、IGMP スヌーピングでは使用できません。

VLAN の各ポート上で 1 つのレシーバーの最大値が設定されている場合のみ、即時脱退処理の機能を設定してください。設定は NVRAM に保存されます。

即時脱退機能をサポートするのは、IGMP バージョン 2 が稼動しているホストだけです。

例

次の例では、VLAN 1 で即時脱退処理をイネーブルにする方法を示します。

Switch(config)# ip igmp snooping vlan 1 immediate-leave

設定を確認するには、 show ip igmp snooping 特権 EXEC コマンドを入力します。

ip igmp snooping vlan mrouter

マルチキャストルータポートを追加するか、またはマルチキャスト学習方式を設定するには、 ip igmp snooping mrouter グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip igmp snooping vlan vlan-id mrouter { interface interface-id | learn { cgmp | pim-dvmrp }}

no ip igmp snooping vlan vlan-id mrouter { interface interface-id | learn { cgmp | pim-dvmrp }}

シンタックスの説明

vlan-id

IGMP スヌーピングをイネーブルにして、指定した VLAN のポートをマルチキャストルータポートとして追加します。指定できる範囲は 1 ～ 1001 または 1006 ～ 4094 です。

interface interface-id

ネクストホップインターフェイスをマルチキャストルータに指定します。キーワードの意味は次のとおりです。

• fastethernet interface number ：ファストイーサネット IEEE 802.3 インターフェイス

• gigabitethernet interface number ：ギガビットイーサネット IEEE 802.3z インターフェイス

• port-channel interface number： チャネルインターフェイス。指定できる範囲は 0 ～ 6 です。

learn { cgmp | pim-dvmrp }

マルチキャストルータの学習方式を指定します。キーワードの意味は次のとおりです。

• cgmp ：Cisco Group Management Protocol（CGMP）パケットでのスヌーピングによりスイッチがマルチキャストルータポートを学習するように設定します。

• pim-dvmrp ：IGMP クエリーおよび Protocol-Independent Multicast-Distance Vector Multicast Routing Protocol（PIM-DVMRP）パケットでのスヌーピングによりスイッチがマルチキャストルータポートを学習するように設定します。

デフォルト

デフォルトでは、マルチキャストルータポートはありません。

デフォルトの学習方式は pim-dvmrp です。IGMP クエリーおよび PIM-DVMRP パケットをスヌーピングします。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

VLAN ID 1002 ～ 1005 は、トークンリングおよび FDDI VLAN に予約されていて、IGMP スヌーピングでは使用できません。

CGMP の学習方式は制御トラフィックの削減に役立ちます。

設定は NVRAM に保存されます。

例

次の例では、ポートをマルチキャストルータポートとして設定する方法を示します。

Switch(config)# ip igmp snooping vlan 1 mrouter interface gigabitethernet1/1

次の例では、マルチキャストルータの学習方式を CGMP として指定する方法を示します。

Switch(config)# ip igmp snooping vlan 1 mrouter learn cgmp

設定を確認するには、 show ip igmp snooping 特権 EXEC コマンドを入力します。

ip igmp snooping vlan static

インターネットグループ管理プロトコル（IGMP）スヌーピングをイネーブルにし、レイヤ 2 ポートをマルチキャストグループのメンバーとしてスタティックに追加するには、 ip igmp snooping static グローバルコンフィギュレーションコマンドを使用します。スタティックなマルチキャストグループのメンバーとして指定されたポートを削除するには、このコマンドの no 形式を使用します。

ip igmp snooping vlan vlan-id static ip-address interface interface-id

no ip igmp snooping vlan vlan-id static ip-address interface interface-id

シンタックスの説明

vlan-id

指定した VLAN で IGMP スヌーピングをイネーブルにします。指定できる範囲は 1 ～ 1001 または 1006 ～ 4094 です。

ip-address

指定のグループ IP アドレスを持ったマルチキャストグループのメンバーとして、レイヤ 2 ポートを追加します。

interface interface-id

メンバーポートのインターフェイスを指定します。キーワードの意味は次のとおりです。

• fastethernet interface number ：ファストイーサネット IEEE 802.3 インターフェイス

• gigabitethernet interface number ：ギガビットイーサネット IEEE 802.3z インターフェイス

• port-channel interface number： チャネルインターフェイス。指定できる範囲は 0 ～ 6 です。

デフォルト

デフォルトでは、マルチキャストグループのメンバーとしてスタティックに設定されたポートはありません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

VLAN ID 1002 ～ 1005 は、トークンリングおよび FDDI VLAN に予約されていて、IGMP スヌーピングでは使用できません。

設定は NVRAM に保存されます。

例

次の例では、インターフェイス上のホストをスタティックに設定する方法を示します。

Switch(config)# ip igmp snooping vlan 1 static 0100.5e02.0203 interface gigabitethernet01/1

Configuring port gigabitethernet01/1 on group 0100.5e02.0203

設定を確認するには、 show ip igmp snooping 特権 EXEC コマンドを入力します。

ip source binding

スイッチ上のスタティック IP 送信元バインディングを設定するには、 ip source binding グローバルコンフィギュレーションコマンドを使用します。スタティックバインディングを削除するには、このコマンドの no 形式を使用します。

ip source binding mac-address vlan vlan-id ip-address interface interface-id

no source binding mac-address vlan vlan-id ip-address interface interface-id

シンタックスの説明

mac-address	MAC（メディアアクセス制御）アドレスを指定します。
vlan vlan-id	VLAN 番号を指定します。指定できる範囲は 1 ～ 4094 です。
ip-address	IP アドレスを指定します。
interface interface-id	IP 送信元バインディングを追加または削除するインターフェイスを指定します。

デフォルト

IP 送信元バインディングは設定されていません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

スタティック IP 送信元バインディングエントリには、IP アドレス、関連付けられた MAC アドレス、および関連付けられた VLAN 番号が含まれます。エントリは、MAC アドレスおよび VLAN 番号に基づいています。エントリを変更する場合に IP アドレスだけを変更すると、スイッチは新しいエントリを作成せずに、そのエントリを更新します。

例

次の例では、スタティック IP 送信元バインディングを追加する方法を示します。

Switch(config)# ip source binding 0001.1234.1234 vlan 1 172.20.50.5 interface gigabitethernet1/1

次の例では、スタティックバインディングを追加してから、その IP アドレスを変更する方法を示します。

Switch(config)# ip source binding 0001.1357.0007 vlan 1 172.20.50.25 interface gigabitethernet1/1

Switch(config)# ip source binding 0001.1357.0007 vlan 1 172.20.50.30 interface gigabitethernet1/1

設定を確認するには、 show ip source binding 特権 EXEC コマンドを入力します。

ip ssh

Secure Shell（SSH; セキュアシェル）バージョン 1 または SSH バージョン 2 を実行するようにスイッチを設定するには、 ip ssh グローバルコンフィギュレーションコマンドを使用します。このコマンドは、スイッチで暗号化ソフトウェアイメージが実行されている場合にだけ使用できます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ip ssh version [ 1 | 2 ]

no ip ssh version [ 1 | 2 ]

シンタックスの説明

1	（任意）スイッチが SSH バージョン 1（SSHv1）を実行するように設定します。
2	（任意）スイッチが SSH バージョン 2（SSHv2）を実行するように設定します。

デフォルト

デフォルトのバージョンは、SSH クライアントでサポートされる最新の SSH バージョンです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドを入力しない場合、またはキーワードを指定しないときは、SSH サーバは SSH クライアントがサポートする最新の SSH バージョンを選択します。たとえば、SSH クライアントが SSHv1 および SSHv2 をサポートする場合、SSH サーバは SSHv2 を選択します。

スイッチは、SSHv1 または SSHv2 サーバをサポートします。また、SSHv1 クライアントもサポートします。SSH サーバおよび SSH クライアントの詳細については、このリリースに対応するソフトウェアコンフィギュレーションガイドを参照してください。

SSHv1 サーバによって生成された Rivest、Shamir、Adelman（RSA）キーペアは、SSHv2 サーバで使用できます。その逆の場合も同様です。

例

次の例では、スイッチが SSH バージョン 2 を実行するように設定する方法を示します。

Switch(config)# ip ssh version 2

設定を確認するには、 show ip ssh または show ssh 特権 EXEC コマンドを入力します。

ip sticky-arp (global configuration)

プライベート VLAN に属しているスイッチ仮想インターフェイス（SVI）でスティッキ ARP をイネーブルにするには、 ip sticky-arp グローバルコンフィギュレーションコマンドを使用します。スティッキ ARP をディセーブルにするには、このコマンドの no 形式を使用します。

ip sticky-arp

no ip sticky-arp

（注）このコマンドは IP サービスイメージが実行されているスイッチでのみサポートされます。

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

スティッキ ARP はイネーブルになっています。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

スティッキ ARP エントリは、プライベート VLAN SVI で学習されるエントリです。これらのエントリは、期限切れになりません。

ip sticky-arp グローバルコンフィギュレーションコマンドは、プライベート VLAN に属している SVI でだけサポートされます。

• プライベート VLAN を設定すると、スイッチでスティッキ ARP がイネーブルになります（デフォルト）。

ip sticky-arp インターフェイス コンフィギュレーションコマンドを入力しても、スティッキ ARP は有効になりません。

no ip sticky-arp インターフェイス コンフィギュレーションコマンドを入力しても、インターフェイスでスティッキ ARP はディセーブルになりません。

（注） show arp 特権 EXEC コマンドを使用して、プライベート VLAN インターフェイス ARP エントリを表示し、確認することを推奨します。

• あるデバイスからスイッチを切断したあと、MAC アドレスは異なるものの IP アドレスが同じ別のデバイスにそのスイッチを接続した場合、ARP エントリは作成されず、次のメッセージが表示されます。

*Mar 2 00:26:06.967: %IP-3-STCKYARPOVR: Attempt to overwrite Sticky ARP entry:
20.6.2.1, hw: 0000.0602.0001 by hw: 0000.0503.0001

• デバイスの MAC アドレスが変わった場合は、 no arp ip-address グローバルコンフィギュレーションコマンドを使用して、プライベート VLAN インターフェイス ARP エントリを手動で削除する必要があります。

• プライベート VLAN ARP エントリを追加するには、 arp ip-address hardware-address type グローバルコンフィギュレーションコマンドを使用します。

• スイッチのスティッキ ARP をディセーブルにするには、 no sticky-arp グローバルコンフィギュレーションコマンドを使用します。

• スイッチのスティッキ ARP をディセーブルにするときに、インターフェイスのスティッキ ARP をディセーブルにするには、 no sticky-arp インターフェイスコンフィギュレーションコマンドを使用します。

例

スティッキ ARP をディセーブルにするには、次のコマンドを入力します。

Switch(config)# no ip sticky-arp

設定を確認するには、 show arp 特権 EXEC コマンドを入力します。

ip sticky-arp (interface configuration)

SVI またはレイヤ 3 インターフェイスでスティッキ ARP をイネーブルにするには、 ip sticky-arp インターフェイスコンフィギュレーションコマンドを使用します。スティッキ ARP をディセーブルにするには、このコマンドの no 形式を使用します。

ip sticky-arp

no ip sticky-arp

（注）このコマンドは IP サービスイメージが実行されているスイッチでのみサポートされます。

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

スティッキ ARP は、プライベート VLAN SVI でイネーブルになります。

スティッキ ARP は、レイヤ 3 インターフェイスおよび通常の SVI ではディセーブルになります。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

スティッキ ARP エントリは、SVI およびレイヤ 3 インターフェイスで学習されるエントリです。これらのエントリは、期限切れになりません。

ip sticky-arp インターフェイスコンフィギュレーションコマンドは、次のものでだけサポートされます。

• レイヤ 3 インターフェイス

• 通常の VLAN に属している SVI

• プライベート VLAN に属している SVI

レイヤ 3 インターフェイスまたは通常の VLAN に属している SVI では、次のようにします。

• スティッキ ARP をイネーブルにするには、 sticky-arp インターフェイスコンフィギュレーションコマンドを使用します。

• スティッキ ARP をディセーブルにするには、 no sticky-arp インターフェイスコンフィギュレーションコマンドを使用します。

プライベート VLAN SVI では、次のようにします。

• プライベート VLAN を設定すると、スイッチでスティッキ ARP がイネーブルになります（デフォルト）。

ip sticky-arp インターフェイス コンフィギュレーションコマンドを入力しても、スティッキ ARP は有効になりません。

（注） show arp 特権 EXEC コマンドを使用して、プライベート VLAN インターフェイス ARP エントリを表示し、確認することを推奨します。

*Mar 2 00:26:06.967: %IP-3-STCKYARPOVR: Attempt to overwrite Sticky ARP entry:
20.6.2.1, hw: 0000.0602.0001 by hw: 0000.0503.0001

• プライベート VLAN ARP エントリを追加するには、 arp ip-address hardware-address type グローバルコンフィギュレーションコマンドを使用します。

• スイッチのスティッキ ARP をディセーブルにするには、 no sticky-arp グローバルコンフィギュレーションコマンドを使用します。

• インターフェイスのスティッキ ARP をディセーブルにするには、 no sticky-arp インターフェイスコンフィギュレーションコマンドを使用します。

例

通常の SVI でスティッキ ARP をイネーブルにするには、次のようにします。

Switch(config-if)# ip sticky-arp

レイヤ 3 インターフェイスまたは SVI でスティッキ ARP をディセーブルにするには、次のようにします。

Switch(config-if)# no ip sticky-arp

設定を確認するには、 show arp 特権 EXEC コマンドを入力します。

ip verify source

インターフェイス上で IP ソースガードをイネーブルにするには、 ip verify source インターフェイスコンフィギュレーションコマンドを使用します。IP ソースガードをディセーブルにするには、このコマンドの no 形式を使用します。

ip verify source [ port-security ]

no ip verify source

シンタックスの説明

port-security

（任意）IP および MAC アドレスフィルタリングによる IP ソースガードをイネーブルにします。

port-security キーワードを入力しない場合、IP アドレスフィルタリングによる IP ソースガードがイネーブルになります。

デフォルト

IP ソースガードはディセーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

送信元 IP アドレスフィルタリングによる IP ソースガードをイネーブルにするには、 ip verify source インターフェイスコンフィギュレーションコマンドを使用します。

送信元 IP および MAC アドレスフィルタリングによる IP ソースガードをイネーブルにするには、 ip verify source port-security インターフェイスコンフィギュレーションコマンドを使用します。

送信元 IP および MAC アドレスフィルタリングによる IP ソースガードをイネーブルにするには、インターフェイスのポートセキュリティをイネーブルにする必要があります。

例

次の例では、送信元 IP アドレスフィルタリングによる IP ソースガードをイネーブルにする方法を示します。

Switch(config-if)# ip verify source

次の例では、送信元 IP および MAC アドレスフィルタリングによる IP ソースガードをイネーブルにする方法を示します。

Switch(config-if)# ip verify source port-security

設定を確認するには、 show ip source binding 特権 EXEC コマンドを入力します。

ipv6 access-list

IPv6 アクセスリストを定義し、スイッチを IPv6 アクセスリストコンフィギュレーションモードにするには、 ipv6 access-list グローバルコンフィギュレーションコマンドを使用します。アクセスリストを削除するには、このコマンドの no 形式を使用します。

ipv6 access-list access-list-name

no ipv6 access-list access-list-name

シンタックスの説明

access-list-name

IPv6 アクセスリスト名。名前にはスペースまたは引用符を含めることはできません。また、数字で開始することもできません。

デフォルト

IPv6 アクセスリストは定義されていません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 グローバルコンフィギュレーションコマンドを入力し、スイッチをリロードします。

IPv6 固有である点を除くと、 ipv6 access-list コマンドは ip access-list コマンドと類似しています。

（注） IPv6 ACL は一意な名前によって定義されます（IPv6 は番号付けされた ACL をサポートしません）。IPv4 ACL と IPv6 ACL は同じ名前を共有できません。

IPv6 オプションヘッダーに基づいた IPv6 トラフィックのフィルタリングに関する情報と任意の上位層プロトコルタイプ情報の詳細については、 ipv6 access-list および permit (IPv6 access-list configuration) コマンドを参照してください。変換された IPv6 ACL の設定例については、「例」を参照してください。

（注）各 IPv6 ACL には最後の一致条件として、暗黙の permit icmp any any nd-na、permit icmp any any nd-ns、および deny ipv6 any any ステートメントがあります。このうち 2 つの permit 条件は、ICMPv6 近隣探索を許可します。ICMPv6 近隣探索を許可しないで icmp any any nd-na または icmp any any nd-ns を拒否するには、明示的な拒否エントリが ACL 内にある必要があります。暗黙的な deny ipv6 any any ステートメントを有効にするには、IPv6 ACL に 1 つまたは複数のエントリを含める必要があります。

IPv6 近隣探索プロセスでは、IPv6 ネットワークレイヤサービスを使用します。したがって、デフォルトでは IPv6 ACL により、IPv6 近隣探索パケットのインターフェイス上での送受信が暗黙に許可されます。IPv4 では、IPv6 近隣探索プロセスと同等のアドレス解決プロトコル（ARP）は、別のデータリンクレイヤプロトコルを使用します。したがってデフォルトでは、IPv4 ACL により、ARP パケットのインターフェイス上での送受信が暗黙に許可されます。

IPv6 ACL を IPv6 インターフェイスに適用するには、 access-list-name 引数を指定して ipv6 traffic-filter インターフェイスコンフィギュレーションコマンドを使用します。着信および発信 IPv6 ACL をレイヤ 3 物理インターフェイス、またはルーテッド ACL のスイッチ仮想インターフェイスに適用することはできますが、ポート ACL のレイヤ 2 インターフェイスに適用できるのは着信 IPv6 ACL のみです。

（注） ipv6 traffic-filter コマンドでインターフェイスに適用された IPv6 ACL は、スイッチによって転送されるトラフィックはフィルタリングしますが、スイッチによって生成されたトラフィックはフィルタリングしません。

例

次の例では、スイッチを IPv6 アクセスリストコンフィギュレーションモードにし、list2 という名の IPv6 ACL を設定し、その ACL をインターフェイス上の発信トラフィックに適用します。最初の ACL エントリは、ネットワーク FE80:0:0:2::/64 からのすべてのパケット（送信元 IPv6 アドレスの最初の 64 ビットとして、リンクローカルプレフィクス FE80:0:0:2 のあるパケット）がインターフェイスから送信されるのを防ぎます。ACL の 2 番目のエントリは、その他すべてのトラフィックがインターフェイスから送信されるのを許可します。すべてのパケットを拒否する暗黙の条件が各 IPv6 ACL の末尾にあるので、この 2 番目のエントリが必要となります。

Switch(config)# ipv6 access-list list2

Switch(config-ipv6-acl)# deny FE80:0:0:2::/64 any

Switch(config-ipv6-acl)# permit any any

Switch(config-ipv6-acl)# exit

Switch(config)# interface gigabitethernet1/3

Switch(config-if)# no switchport

Switch(config-if)# ipv6 address 2001::/64 eui-64

Switch(config-if)# ipv6 traffic-filter list2 out

（注）暗黙の拒否条件に依存するか、または deny any any ステートメントを指定してトラフィックをフィルタリングする IPv6 ACL には、プロトコルパケットのフィルタリングを避けるため、リンクローカルアドレスに対する permit ステートメントを含める必要があります。また、deny ステートメントを使用してトラフィックをフィルタリングする IPv6 ACL では、permit any any ステートメントをリストの最後のステートメントとして使用する必要があります。

ipv6 address dhcp

Dynamic Host Configuration Protocol for IPv6（DHCPv6）サーバからインターフェイスの IPv6 アドレスを取得するには、 ipv6 address dhcp インターフェイスコンフィギュレーションコマンドを使用します。インターフェイスからアドレスを削除するには、このコマンドの no 形式を使用します。

ipv6 address dhcp [rapid-commit]

no ipv6 address dhcp [rapid-commit]

シンタックスの説明

rapid-commit

（任意）アドレス割り当ての 2 つのメッセージ交換方式を可能にします。

デフォルト

デフォルトは定義されていません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

デュアル IPv4/IPv6 テンプレートを設定するには、 sdm prefer dual-ipv4-and-ipv6 グローバルコンフィギュレーションコマンドを入力し、スイッチをリロードします。

ipv6 address dhcp インターフェイスコンフィギュレーションコマンドを使用すると、すべてのインターフェイスは DHCP プロトコルを使用して IPv6 アドレスを動的に学習できます。

rapid-commit キーワードを使用すると、アドレス割り当てや他の設定用に 2 つのメッセージ交換方式を使用できます。キーワードがイネーブルの場合、クライアントでは送信請求メッセージに rapid-commit オプションが含まれます。

例

次の例では、IPv6 アドレスを取得し、rapid-commit オプションをイネーブルにする方法を示します。

Switch(config)# interface gigabitethernet1/3

Switch(config-if)# ipv6 address dhcp rapid-commit

設定を確認するには、 show ipv6 dhcp interface 特権 EXEC コマンドを入力します。

ipv6 dhcp client request vendor

DHCP for IPv6（DHCPv6）サーバからオプションを要求するよう IPv6 クライアントを設定するには、 ipv6 dhcp client request インターフェイスコンフィギュレーションコマンドを使用します。要求を削除するには、このコマンドの no 形式を使用します。

ipv6 dhcp client request vendor

no ipv6 dhcp client request vendor

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトは定義されていません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

ベンダー固有のオプションを要求するには、 ipv6 dhcp client request vendor インターフェイスコンフィギュレーションコマンドを使用します。このコマンドがイネーブルの場合、コマンドは IPv6 アドレスが DHCP から取得されたときのみチェックされます。インターフェイスが IPv6 アドレスを取得したあとでコマンドを入力した場合、次にクライアントが DHCP から IPv6 アドレスを取得するまでこのコマンドは有効になりません。

例

次の例では、要求ベンダー固有のオプションをイネーブルにする方法を示します。

Switch(config)# interface gigabitethernet1/3

Switch(config-if)# ipv6 dhcp client request vendor-specific

ipv6 dhcp ping packets

DHCP for IPv6（DHCPv6）サーバが、PING 動作の一部としてプールアドレスに送信するパケットの数を指定するには、 ipv6 dhcp ping packets グローバルコンフィギュレーションコマンドを使用します。サーバがプールアドレスに PING を実行するのを回避するには、このコマンドの no 形式を使用します。

ipv6 dhcp ping packets number

no ipv6 dhcp ping packets

シンタックスの説明

number

アドレスを要求クライアントに割り当てる前に送信される PING パケットの数。指定できる範囲は 0 ～ 10 です。

デフォルト

デフォルト値は 0 です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

DHCPv6 サーバは、アドレスを要求クライアントに割り当てる前にプールアドレスの PING を実行します。PING に応答がない場合、サーバはより高い確率でアドレスが使用されていないものと仮定し、アドレスを要求クライアントに割り当てます。

number 引数を 0 に設定すると、DHCPv6 サーバの PING 動作がオフになります。

例

次の例では、PING 試行を停止するまで DHCPv6 サーバが実行する 2 つの PING 試行を指定します。

Switch(config)# ipv6 dhcp ping packets 2

ipv6 dhcp pool

DHCP for IPv6（DHCPv6）プールコンフィギュレーションモードを開始するには、 ipv6 dhcp pool グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ipv6 dhcp pool poolname

no ipv6 dhcp pool poolname

シンタックスの説明

poolname

DHCPv6 プール用にユーザ定義された名前。プール名は、記号文字列（ Engineering など）または整数（0 など）です。

デフォルト

デフォルトは定義されていません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

ipv6 dhcp pool コマンドを使用すると、DHCPv6 プールコンフィギュレーションモードをイネーブルにします。使用できるコンフィギュレーションコマンドは、次のとおりです。

• address prefix IPv6-prefix： アドレスの割り当てにアドレスプレフィクスを設定します。このアドレスは、16 ビット値をコロンで区切った 16 進数にする必要があります。

• lifetime t1 t2：IPv6 アドレスの valid および preferred の時間間隔（秒単位）を設定します。指定できる範囲は 5 ～ 4294967295 秒です。valid のデフォルトは 2 日です。preferred のデフォルトは 1 日です。有効期間は、preferred ライフタイム以上にする必要があります。時間間隔を指定しない場合は 無制限 になります。

• link-address IPv6-prefix： リンクアドレス IPv6 プレフィクスを設定します。着信インターフェイスのアドレスまたはパケット内のリンクアドレスが指定の IPv6 プレフィクスと一致した場合、サーバは構成情報プールを使用します。このアドレスは、16 ビット値をコロンで区切った 16 進数にする必要があります。

• vendor-specific ：DHCPv6 ベンダー固有のコンフィギュレーションモードをイネーブルにします。使用できるコンフィギュレーションコマンドは、次のとおりです。

– vendor-id ：ベンダー固有の ID 番号を入力します。この番号はベンダーの IANA 民間企業番号です。指定できる範囲は 1 ～ 4294967295 です。

– suboption number：ベンダー固有のサブオプション番号を設定します。指定できる範囲は 1 ～ 65535 です。IPv6 アドレス、ASCII テキスト、または 16 進数の文字列をサブオプションパラメータによって定義されたものとして入力します。

DHCPv6 構成情報プールを作成したあと、プールとインターフェイス上のサーバを関連付けるには、 ipv6 dhcp server インターフェイスコンフィギュレーションコマンドを使用します。ただし、情報プールを設定していない場合、 ipv6 dhcp server インターフェイスコンフィギュレーションコマンドを使用して、インターフェイスで DHCPv6 サーバ機能をまだイネーブルにする必要があります。

DHCPv6 プールをインターフェイスに関連付けると、そのプールのみが関連付けられたインターフェイスの要求を処理します。プールは他のインターフェイスも処理します。DHCPv6 プールをインターフェイスに関連付けていない場合、プールは任意のインターフェイスの要求を処理できます。

IPv6 アドレスプレフィクスを使用しないと、プールは設定されたオプションを戻すことだけを行います。

link-address キーワードを使用すると、必ずしもアドレスを割り当てることなくリンクアドレスを照合します。プール内で複数のリンクアドレスコンフィギュレーションコマンドを使用して、複数のリレーからプールを照合できます。

アドレスプール情報またはリンク情報に関して最長一致が実行されるので、アドレスを割り当てるようプールを設定し、設定されたオプションのみを戻すサブプレフィクス上に別のプールを設定できます。

例

次の例では、 engineering with an IPv6 address prefix というプールを設定する方法を示します。

Switch# configure terminal

Switch(config)# ipv6 dhcp pool engineering

Switch(config-dhcpv6)# address prefix 2001:1000::0/64

Switch(config-dhcpv6)# end

次の例では、3 つのリンクアドレスプレフィクスと 1 つの IPv6 アドレスプレフィクスを持った testgroup というプールを設定する方法を示します。

Switch# configure terminal

Switch(config)# ipv6 dhcp pool testgroup

Switch(config-dhcpv6)# link-address 2001:1001::0/64

Switch(config-dhcpv6)# link-address 2001:1002::0/64

Switch(config-dhcpv6)# link-address 2001:2000::0/48

Switch(config-dhcpv6)# address prefix 2001:1003::0/64

Switch(config-dhcpv6)# end

次の例では、ベンダー固有のオプションのある 350 というプールを設定する方法を示します。

Switch# configure terminal

Switch(config)# ipv6 dhcp pool 350

Switch(config-dhcpv6)# vendor-specific 9

Switch(config-dhcpv6-vs)# suboption 1 address 1000:235D::1

Switch(config-dhcpv6-vs)# suboption 2 ascii "IP-Phone"

Switch(config-dhcpv6-vs)# end

ipv6 dhcp server

インターフェイスで DHCP for IPv6（DHCPv6）サービスをイネーブルにするには、 ipv6 dhcp server インターフェイスコンフィギュレーションコマンドを使用します。インターフェイスで DHCPv6 サービスをディセーブルにするには、このコマンドの no 形式を使用します。

ipv6 dhcp server [poolname | automatic ] [ rapid-commit ] [ preference value] [ allow-hint ]

no ipv6 dhcp server [poolname | automatic ] [ rapid-commit ] [ preference value] [ allow-hint ]

シンタックスの説明

poolname	（任意）IPv6 DHCP プール用にユーザ定義された名前。プール名は、記号文字列（ Engineering など）または整数（0 など）です。
automatic	（任意）サーバはクライアントにアドレスを割り当てる際に使用するプールを自動的に決定できます。
rapid-commit	（任意）2 つのメッセージ交換方式を可能にします。
preference value	（任意）サーバが送信するアドバタイズメッセージの preference オプションで伝送される preference 値。指定できる範囲は 0 ～ 255 です。デフォルトの preference 値は 0 です。
allow-hint	（任意）サーバが送信請求メッセージでクライアントの提案を考慮するかどうか指定します。デフォルトでは、サーバはクライアントのヒントを無視します。

デフォルト

デフォルトでは、DHCPv6 パケットはインターフェイスで処理されません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

ipv6 dhcp server インターフェイスコンフィギュレーションコマンドを使用すると、指定のインターフェイスで DHCPv6 サービスをイネーブルにします。

automatic キーワードを使用すると、システムはクライアントにアドレスを割り当てる際に使用するプールを自動的に決定できます。サーバが IPv6 DHCP パケットを受信すると、サーバはパケットを DHCP リレーから受信したか、クライアントから直接受信したかを判断します。パケットをリレーから受信した場合、サーバはクライアントに最も近い最初のリレーに関連したパケットの内部のリンクアドレスフィールドを検証します。サーバは、最長プレフィクス一致を検出するため、IPv6 DHCP プール内のすべてのアドレスプレフィクス設定とリンクアドレス設定について、このリンクアドレスを照合します。サーバは最長一致に関連したプールを選択します。

パケットをクライアントから直接受信した場合、サーバは同じ照合を行いますが、照合を行う際、着信インターフェイス上に設定されたすべての IPv6 アドレスを使用します。もう一度、サーバは最長プレフィクス一致を選択します。

rapid-commit キーワードを使用すると、2 つのメッセージ交換をイネーブルにします。

preference キーワードに 0 以外の値が設定されている場合、サーバは preference オプションを追加してアドバタイズメッセージ用に preference 値を伝送します。このアクションは、クライアントによるサーバの選択に影響します。preference オプションを含まないアドバタイズメッセージでは、preference 値は 0 であるとみなされます。クライアントが preference 値 255 のあるアドバタイズメッセージを受信した場合、クライアントはメッセージの受信元であるサーバに要求メッセージをただちに送信します。

allow-hint キーワードが指定されている場合、サーバは有効なクライアント提案アドレスを送信請求メッセージと要求メッセージに割り当てます。プレフィクスアドレスが関連するローカルプレフィクスアドレスプールにあり、デバイスに割り当てられていない場合、このプレフィクスアドレスは有効です。 allow-hint キーワードが指定されていない場合、サーバはクライアントのヒントを無視し、アドレスはプール内のフリーリストから割り当てられます。

DHCPv6 クライアント、サーバ、およびリレー機能は、1 つのインターフェイスでは同時に指定できません。これらの機能のいずれかがすでにイネーブルであり、同じインターフェイスに別の機能を設定しようとすると、スイッチは次のいずれかのメッセージを戻します。

Interface is in DHCP client mode

Interface is in DHCP server mode

Interface is in DHCP relay mode

例

次の例では、testgroup というプール用に DHCPv6 をイネーブルにする方法を示します。

Switch(config-if)# ipv6 dhcp server testgroup

ipv6 mld snooping

IP version 6（IPv6）Multicast Listener Discovery（MLD）スヌーピングをグローバルまたは VLAN 単位でイネーブルにするには、キーワードを指定せずに ipv6 mld snooping グローバルコンフィギュレーションコマンドを使用します。スイッチ、スイッチスタックまたは VLAN 上で MLD スヌーピングをディセーブルにする場合は、このコマンドの no 形式を使用します。

ipv6 mld snooping [ vlan vlan-id ]

no ipv6 mld snooping [ vlan vlan-id ]

（注）このコマンドは、スイッチでデュアル IPv4/IPv6 SDM テンプレートが設定されている場合にだけ使用可能です。

シンタックスの説明

vlan vlan-id

（任意）指定の VLAN で IPv6 MLD スヌーピングをイネーブルまたはディセーブルにします。指定できる VLAN ID 範囲は 1 ～ 1001 および 1006 ～ 4094 です。

デフォルト

スイッチ上で、MLD スヌーピングはグローバルにディセーブルです。

すべての VLAN で MLD スヌーピングはイネーブルです。ただし、VLAN スヌーピングが実行される前に、MLD スヌーピングをグローバルにイネーブルにする必要があります。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

MLD スヌーピングがグローバルにディセーブルである場合、すべての既存の VLAN インターフェイスで MLD スヌーピングがディセーブルになります。MLD スヌーピングをグローバルにイネーブルにすると、デフォルトの状態（イネーブル）であるすべての VLAN インターフェイス上で MLD スヌーピングがイネーブルになります。VLAN 設定は、MLD スヌーピングがディセーブルのインターフェイス上のグローバルコンフィギュレーションを上書きします。

MLD スヌーピングがグローバルにディセーブルである場合、VLAN 上で MLD スヌーピングをイネーブルにできません。MLD スヌーピングがグローバルにイネーブルである場合、個々の VLAN 上で MLD スヌーピングをディセーブルにできます。

IPv6 マルチキャストルータが Catalyst 6500 スイッチであり、拡張 VLAN（範囲 1006 ～ 4094）が使用されている場合は、Catalyst 6500 スイッチが拡張 VLAN 上でクエリーを受信できるように、Catalyst 6500 スイッチ上で拡張 VLAN に対する IPv6 MLD スヌーピングをイネーブルにする必要があります。標準範囲 VLAN（1 ～ 1005）の場合、IPv6 MLD スヌーピングを Catalyst 6500 スイッチの VLAN でイネーブルにする必要はありません。

1002 ～ 1005 の VLAN 番号は、トークンリング VLAN および FDDI VLAN のために予約されているため、MLD スヌーピングには使用できません。

例

次の例では、MLD スヌーピングをグローバルにイネーブルにする方法を示します。

Switch(config)# ipv6 mld snooping

次の例では、MLD スヌーピングを VLAN でディセーブルにする方法を示します。

Switch(config)# no ipv6 mld snooping vlan 11

設定を確認するには、 show ipv6 mld snooping ユーザ EXEC コマンドを入力します。

ipv6 mld snooping last-listener-query-count

クライアントがエージングアウトになる前に送信される IP version 6（IPv6）Multicast Listener Discovery（MLD）Multicast Address Specific Queries（MASQ）を設定するには、 ipv6 mld snooping last-listener-query-count グローバルコンフィギュレーションコマンドを使用します。クエリーカウントをデフォルト設定にリセットするには、このコマンドの no 形式を使用します。

ipv6 mld snooping [ vlan vlan-id ] last-listener-query-count integer_value

no ipv6 mld snooping [ vlan vlan-id ] last-listener-query-count

（注）このコマンドは、スイッチでデュアル IPv4/IPv6 SDM テンプレートが設定されている場合にだけ使用可能です。

シンタックスの説明

vlan vlan-id	（任意）指定の VLAN で last-listener クエリーカウントを設定します。指定できる VLAN ID 範囲は 1 ～ 1001 および 1006 ～ 4094 です。
integer_value	指定できる範囲は 1 ～ 7 です。

コマンドのデフォルト

デフォルトのグローバルカウントは 2 です。

デフォルトの VLAN カウントは 0 です（グローバルカウントを使用します）。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

MLD スヌーピングでは、IPv6 マルチキャストルータはマルチキャストグループに所属するホストにクエリーを定期的に送信します。ホストがマルチキャストグループを脱退する場合、ホストは静かに脱退する、または Multicast Listener Done メッセージでクエリーに応答できます（IGMP Leave メッセージに相当）。即時脱退が設定されていない場合（1 つのグループに対し複数のクライアントが同じポート上に存在する場合は設定しない）、設定された last-listener クエリーカウントにより、MLD クライアントが期限切れになる前に送信する MASQ の数が決定します。

last-listener クエリーカウントが VLAN 用に設定されている場合、このカウントはグローバルに設定された値より優先されます。VLAN カウントが設定されていない（デフォルトの 0 に設定されている）場合は、グローバルカウントが使用されます。

1002 ～ 1005 の VLAN 番号は、トークンリング VLAN および FDDI VLAN のために予約されているため、MLD スヌーピングには使用できません。

例

次の例では、last-listener クエリーカウントをグローバルに設定する方法を示します。

Switch(config)# ipv6 mld snooping last-listener-query-count 1

次の例では、last-listener クエリーカウントを VLAN 10 に設定する方法を示します。

Switch(config)# ipv6 mld snooping vlan 10 last-listener-query-count 3

設定を確認するには、 show ipv6 mld snooping [ vlan vlan-id ] ユーザ EXEC コマンドを入力します。

ipv6 mld snooping last-listener-query-interval

スイッチまたは VLAN で IP version 6（IPv6）Multicast Listener Discovery（MLD）スヌーピングの last-listener クエリー間隔を設定するには、 ipv6 mld snooping last-listener-query-interval グローバルコンフィギュレーションコマンドを使用します。この時間間隔は、Mulitcast Address Specific Query（MASQ）マルチキャストグループからポートを削除する前にマルチキャストルータが待機する最大時間です。クエリー時間をデフォルト設定にリセットするには、このコマンドの no 形式を使用します。

ipv6 mld snooping [ vlan vlan-id ] last-listener-query-interval integer_value

no ipv6 mld snooping [ vlan vlan-id ] last-listener-query-interval

（注）このコマンドは、スイッチでデュアル IPv4/IPv6 SDM テンプレートが設定されている場合にだけ使用可能です。

シンタックスの説明

vlan vlan-id	（任意）指定の VLAN で last-listener クエリー時間を設定します。指定できる VLAN ID 範囲は 1 ～ 1001 および 1006 ～ 4094 です。
integer_value	MASQ を送信したあとマルチキャストグループからポートを削除する前にマルチキャストルータが待機する時間（1000 秒単位）を設定します。指定できる範囲は 100 ～ 32,768 です。デフォルト値は 1000（1 秒）です。

コマンドのデフォルト

デフォルトのグローバルクエリー間隔（最大応答時間）は 1000（1 秒）です。

デフォルトの VLAN クエリー間隔（最大応答時間）は 0 です（グローバルカウントが使用されます）。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

MLD スヌーピングでは、IPv6 マルチキャストルータが MLD Leave メッセージを受信すると、マルチキャストグループに所属するホストにクエリーを送信します。一定の時間、ポートから MASQ への応答がない場合、ルータはマルチキャストアドレスのメンバシップデータベースからそのポートを削除します。last listener クエリー間隔は、応答のないポートをマルチキャストグループから削除する前にルータが待機する最大時間です。

VLAN クエリー間隔が設定されていると、グローバルクエリー間隔より優先されます。VLAN 間隔が 0 に設定されていると、グローバル値が使用されます。

1002 ～ 1005 の VLAN 番号は、トークンリング VLAN および FDDI VLAN のために予約されているため、MLD スヌーピングには使用できません。

例

次の例では、last-listener クエリー間隔を 2 秒にグローバルに設定する方法を示します。

Switch(config)# ipv6 mld snooping last-listener-query-interval 2000

次の例では、VLAN 1 用の last-listener クエリー間隔を 5.5 秒に設定する方法を示します。

Switch(config)# ipv6 mld snooping vlan 1 last-listener-query-interval 5500

設定を確認するには、 show ipv6 MLD snooping [ vlan vlan-id ] ユーザ EXEC コマンドを入力します。

ipv6 mld snooping listener-message-suppression

IP version 6（IPv6）Multicast Listener Discovery（MLD）スヌーピングリスナーメッセージ抑制をイネーブルにするには、 ipv6 mld snooping listener-message-suppression グローバルコンフィギュレーションコマンドを使用します。MLD スヌーピングリスナーメッセージ抑制をディセーブルにするには、このコマンドの no 形式を使用します。

ipv6 mld snooping listener-message-suppression

no ipv6 mld snooping listener-message-suppression

（注）このコマンドは、スイッチでデュアル IPv4/IPv6 SDM テンプレートが設定されている場合にだけ使用可能です。

コマンドのデフォルト

デフォルトでは、MLD スヌーピングリスナーメッセージ抑制はディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

MLD スヌーピングリスナーメッセージ抑制は、IGMP レポート抑制に相当します。イネーブルの場合、グループに対する受信 MLDv1 レポートはレポート転送時間ごとに 1 回だけ IPv6 マルチキャストルータに転送されます。これにより、重複レポートの転送を避けられます。

例

次の例では、MLD スヌーピングリスナーメッセージ抑制をイネーブルにする方法を示します。

Switch(config)# ipv6 mld snooping listener-message-suppression

次の例では、MLD スヌーピングリスナーメッセージ抑制をディセーブルにする方法を示します。

Switch(config)# no ipv6 mld snooping listener-message-suppression

設定を確認するには、 show ipv6 mld snooping [ vlan vlan-id ] ユーザ EXEC コマンドを入力します。

ipv6 mld snooping robustness-variable

応答のないリスナーを削除するまでスイッチが送信する IP version 6（IPv6）Multicast Listener Discovery（MLD）クエリーの数を設定するには、 ipv6 mld snooping robustness-variable グローバルコンフィギュレーションコマンドを使用します。また、VLAN 単位で設定する場合は、VLAN ID を入力します。変数をデフォルト設定にリセットするには、このコマンドの no 形式を使用します。

ipv6 mld snooping [ vlan vlan-id ] robustness-variable integer_value

no ipv6 mld snooping [ vlan vlan-id ] robustness-variable

（注）このコマンドは、スイッチでデュアル IPv4/IPv6 SDM テンプレートが設定されている場合にだけ使用可能です。

シンタックスの説明

vlan vlan-id	（任意）指定の VLAN にロバストネス変数を設定します。指定できる VLAN ID 範囲は 1 ～ 1001 および 1006 ～ 4094 です。
integer_value	指定できる範囲は 1 ～ 3 です。

コマンドのデフォルト

デフォルトのグローバルロバストネス変数（リスナーを削除する前のクエリー数）は、2 です。

デフォルトの VLAN ロバストネス変数（マルチキャストアドレスが期限切れになる前のクエリー数）は 0 です。リスナーの期限の判断には、グローバルロバストネス変数が使用されます。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

ロバストネスは、ポートをマルチキャストグループから削除する前に送信された応答がなかった MLDv1 クエリー数の点から測定されます。設定された回数送信された MLDv1 クエリーに対して受信した MLDv1 レポートがない場合、ポートが削除されます。グローバル値により、スイッチが応答しないリスナーを削除する前に待機するクエリー数が決定し、VLAN 値が設定されていない VLAN すべてに適用します。

VLAN に設定されたロバストネス値はグローバル値より優先されます。VLAN ロバストネス値が 0（デフォルト）の場合、グローバル値が使用されます。

1002 ～ 1005 の VLAN 番号は、トークンリング VLAN および FDDI VLAN のために予約されているため、MLD スヌーピングには使用できません。

例

次の例では、スイッチが応答しないリスナーポートを削除する前に 3 つのクエリーを送信するようグローバルロバストネス変数を設定する方法を示します。

Switch(config)# ipv6 mld snooping robustness-variable 3

次の例では、VLAN 1 にロバストネス変数を設定する方法を示します。この値は VLAN のグローバルコンフィギュレーションより優先されます。

Switch(config)# ipv6 mld snooping vlan 1 robustness-variable 1

設定を確認するには、 show ipv6 MLD snooping [ vlan vlan-id ] ユーザ EXEC コマンドを入力します。

ipv6 mld snooping tcn

IP version 6（IPv6）Multicast Listener Discovery（MLD）トポロジ変更通知（TCN）を設定するには、 ipv6 mld snooping tcn グローバルコンフィギュレーションコマンドを使用します。デフォルト設定にリセットするには、このコマンドの no 形式を使用します。

ipv6 mld snooping tcn { flood query count integer_value | query solicit }

no ipv6 mld snooping tcn { flood query count integer_value | query solicit }

（注）このコマンドは、スイッチでデュアル IPv4/IPv6 SDM テンプレートが設定されている場合にだけ使用可能です。

シンタックスの説明

flood query count integer_value	フラッディングクエリーカウントを設定します。これは、クエリーの受信を要求したポートに対しマルチキャストデータを転送する前に送信されるクエリー数です。指定できる範囲は 1 ～ 10 です。
query solicit	TCN クエリーの送信請求をイネーブルにします。

コマンドのデフォルト

TCN クエリー送信請求はディセーブルです。

イネーブルの場合、デフォルトのフラッディングクエリーカウントは 2 です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

例

次の例では、TCN クエリー送信請求をイネーブルにする方法を示します。

Switch(config)# ipv6 mld snooping tcn query solicit.

次の例では、フラッディングクエリーカウントを 5 に設定する方法を示します。

Switch(config)# ipv6 mld snooping tcn flood query count 5.

設定を確認するには、 show ipv6 MLD snooping [ vlan vlan-id ] ユーザ EXEC コマンドを入力します。

ipv6 mld snooping vlan

VLAN インターフェイスで IP version 6（IPv6）Multicast Listener Discovery（MLD）スヌーピングパラメータを設定するには、 ipv6 mld snooping vlan グローバルコンフィギュレーションコマンドを使用します。パラメータをデフォルト設定にリセットするには、このコマンドの no 形式を使用します。

ipv6 mld snooping vlan vlan-id [ immediate-leave | mrouter interface interface-id | static ipv6-multicast-address interface interface-id ]

no ipv6 mld snooping vlan vlan-id [ immediate-leave | mrouter interface interface-id | static ip-address interface interface-id ]

（注）このコマンドは、スイッチでデュアル IPv4/IPv6 SDM テンプレートが設定されている場合にだけ使用可能です。

シンタックスの説明

vlan vlan-id	VLAN 番号を指定します。指定できる範囲は 1 ～ 1001 または 1006 ～ 4094 です。
immediate-leave	（任意）VLAN インターフェイス上で MLD の即時脱退処理をイネーブルにします。この機能をインターフェイス上でディセーブルにするには、このコマンドの no 形式を使用します。
mrouter interface	（任意）マルチキャストルータポートを設定します。設定を削除するには、このコマンドの no 形式を使用します。
static ipv6-multicast-address	（任意）指定の IPv6 マルチキャストアドレスでマルチキャストグループを設定します。
interface interface-id	レイヤ 2 ポートをグループに追加します。マルチキャストルータまたはスタティックインターフェイスは、物理ポートまたはインターフェイス範囲 1 ～ 48 のポートチャネルインターフェイスにすることができます。

コマンドのデフォルト

MLD スヌーピング即時脱退処理はディセーブルです。

デフォルトでは、スタティック IPv6 マルチキャストグループは設定されていません。

デフォルトでは、マルチキャストルータポートはありません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

VLAN の各ポート上に 1 つのレシーバーだけが存在する場合、即時脱退処理の機能だけを設定してください。設定は NVRAM に保存されます。

static キーワードは MLD メンバーポートを静的に設定するために使用されます。

設定およびスタティックポートとグループは、NVRAM に保存されます。

IPv6 マルチキャストルータが Catalyst 6500 スイッチであり、拡張 VLAN（範囲 1006 ～ 4094）を使用する場合、Catalyst 3750 または Catalyst 3560 スイッチが VLAN 上でクエリーを受信できるようにするため、IPv6 MLD スヌーピングを Catalyst 6500 スイッチの拡張 VLAN でイネーブルにする必要があります。標準範囲 VLAN（1 ～ 1005）の場合、IPv6 MLD スヌーピングを Catalyst 6500 スイッチの VLAN でイネーブルにする必要はありません。

1002 ～ 1005 の VLAN 番号は、トークンリング VLAN および FDDI VLAN のために予約されているため、MLD スヌーピングには使用できません。

例

次の例では、VLAN 1 で MLD 即時脱退処理をイネーブルにする方法を示します。

Switch(config)# ipv6 mld snooping vlan 1 immediate-leave

次の例では、VLAN 1 で MLD 即時脱退処理をディセーブルにする方法を示します。

Switch(config)# no ipv6 mld snooping vlan 1 immediate-leave

次の例では、ポートをマルチキャストルータポートとして設定する方法を示します。

Switch(config)# ipv6 mld snooping vlan 1 mrouter interface gigabitethernet1/01/2

次の例では、スタティックマルチキャストグループを設定する方法を示します。

Switch(config)# ipv6 mld snooping vlan 2 static FF12::34 interface gigabitethernet1/01/2

設定を確認するには、 show ipv6 mld snooping vlan vlan-id ユーザ EXEC コマンドを入力します。

ipv6 traffic-filter

インターフェイスで IPv6 トラフィックをフィルタリングするには、 ipv6 traffic-filter インターフェイスコンフィギュレーションコマンドを使用します。フィルタリングできるトラフィックのタイプと方向は、スイッチで稼動するイメージによって異なります。インターフェイスでの IPv6 トラフィックのフィルタリングをディセーブルにするには、このコマンドの no 形式を使用します。

ipv6 traffic-filter access-list-name { in | out }

no ipv6 traffic-filter access-list-name { in | out }

シンタックスの説明

access-list-name

IPv6 アクセス名を指定します。

着信 IPv6 トラフィックを指定します。

out

発信 IPv6 トラフィックを指定します。

キーワードはレイヤ 2 インターフェイス（ポート ACL）ではサポートされません。

デフォルト

インターフェイス上での IPv6 トラフィックのフィルタリングは設定されません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

物理インターフェイス（レイヤ 2 またはレイヤ 3 ポート）、レイヤ 3 ポートチャネル、またはスイッチ仮想インターフェイス（SVI）で ipv6 traffic-filter コマンドを使用できます。

ACL は、レイヤ 3 インターフェイス（ポート ACL）の発信または着信トラフィックに、あるいはレイヤ 2 インターフェイス（ルータ ACL）の着信トラフィックに適用できます。

いずれか のポート ACL（IPv4、IPv6、または MAC）がインターフェイスに適用された場合、そのポート ACL を使用してパケットをフィルタリングし、ポート VLAN の SVI に適用されたルータ ACL は無視されます。

例

次の例では、 cisco という名のアクセスリストの定義に従って、IPv6 設定のインターフェイスで着信 IPv6 トラフィックをフィルタリングする方法を示します。

Switch (config)# interface gigabitethernet1/1

Switch(config-if)# no switchport

Switch(config-if)# ipv6 address 2001::/64 eui-64

Switch(config-if)# ipv6 traffic-filter cisco in

l2protocol-tunnel

アクセスポート、IEEE 802.1Q トンネルポート、またはポートチャネルでレイヤ 2 プロトコルのトンネリングをイネーブルにするには、 l2protocol-tunnel インターフェイスコンフィギュレーションコマンドを使用します。シスコ検出プロトコル（CDP）、Spanning Tree Protocol（STP; スパニングツリープロトコル）、または VLAN トランキングプロトコル（VTP）パケットのトンネリングをイネーブルにできます。また、ポート集約プロトコル（PAgP）、Link Aggregation Control Protocol（LACP）、または単方向リンク検出（UDLD）パケットのポイントツーポイントトンネリングをイネーブルにできます。インターフェイスでトンネリングをディセーブルにする場合は、このコマンドの no 形式を使用します。

（注）このコマンドは、スイッチが IP サービスイメージを稼動している場合にだけ使用できます。

シンタックスの説明

l2protocol-tunnel	CDP、STP、および VTP パケットのポイントツーマルチポイントトンネリングをイネーブルにします。
cdp	（任意）CDP のトンネリングをイネーブルにします。または、CDP のシャットダウンしきい値またはドロップしきい値を指定します。
stp	（任意）STP のトンネリングをイネーブルにします。または、STP のシャットダウンしきい値またはドロップしきい値を指定します。
vtp	（任意）VTP のトンネリングをイネーブルにします。または、VTP のシャットダウンしきい値またはドロップしきい値を指定します。
point-to-point	（任意）PAgP、LACP、および UDLD パケットのポイントツーポイントトンネリングをイネーブルにします。
pagp	（任意）PAgP のポイントツーポイントトンネリングをイネーブルにします。または、PAgP のシャットダウンしきい値またはドロップしきい値を指定します。
lacp	（任意）LACP のポイントツーポイントトンネリングをイネーブルにします。または、LACP のシャットダウンしきい値またはドロップしきい値を指定します。
udld	（任意）UDLD のポイントツーポイントトンネリングをイネーブルにします。または、UDLD のシャットダウンしきい値またはドロップしきい値を指定します。
shutdown-threshold	（任意）インターフェイスがシャットダウンするまでに受信されるシャットダウンしきい値をレイヤ 2 プロトコル pps（パケット/秒）の最大レートで設定します。
drop-threshold	（任意）インターフェイスがパケットをドロップするまでに受信されるドロップしきい値をレイヤ 2 プロトコル pps（パケット/秒）の最大レートで設定します。
value	インターフェイスがシャットダウンするまでにカプセル化に対して受信されるしきい値を pps（パケット/秒）で指定します。または、インターフェイスがパケットをドロップするまでのしきい値を指定します。指定できる範囲は 1 ～ 4096 です。デフォルトでは、しきい値は設定されていません。

デフォルト

デフォルトでは、レイヤ 2 プロトコルのトンネリングは設定されていません。

デフォルトでは、レイヤ 2 プロトコルパケット数のシャットダウンしきい値は設定されていません。

デフォルトでは、レイヤ 2 プロトコルパケット数のドロップしきい値は設定されていません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

レイヤ 2 パケットをトンネリングするには、このコマンドを入力する必要があります（必要な場合は、プロトコルタイプを指定）。

このコマンドをポートチャネルで入力する場合、チャネル内のすべてのポートが同じ設定になる必要があります。

サービスプロバイダーネットワーク内のレイヤ 2 プロトコルトンネリングは、レイヤ 2 の情報が確実にネットワーク内のすべての顧客に伝播するようにします。プロトコルトンネリングがイネーブルになると、ネットワーク内の伝送用に、プロトコルパケットがシスコの既知のマルチキャストアドレスでカプセル化されます。パケットが宛先に到着すると、既知の MAC アドレスがレイヤ 2 プロトコル MAC アドレスに置き換えられます。

CDP、STP、および VTP のレイヤ 2 プロトコルトンネリングは、個別にまたは 3 つすべてのプロトコルに対してイネーブルにできます。

サービスプロバイダーネットワークでは、ポイントツーポイントネットワークトポロジをエミュレートして EtherChannel の作成を強化するのに、レイヤ 2 プロトコルトンネルを使用できます。PAgP または LACP のプロトコルトンネリングがサービスプロバイダーのスイッチでイネーブルにされている場合、リモートカスタマースイッチは、Protocol Data Unit（PDU; プロトコルデータユニット）を受信し、EtherChannel の自動作成をネゴシエートできます。

PAgP、LACP、および UDLD パケットのトンネリングをイネーブルにするには、ポイントツーポイントネットワークトポロジが必要になります。リンクダウン検出時間を減らすには、PAgP または LACP パケットのトンネリングをイネーブルにするときにインターフェイスで UDLD もイネーブルにする必要があります。

PAgP、LACP、および UDLD のポイントツーポイントプロトコルトンネリングは、個別にまたは 3 つすべてのプロトコルに対してイネーブルにできます。

注意 PAgP、LACP、および UDLD トンネリングは、ポイントツーポイントトポロジをエミュレートすることだけを目的としています。設定を間違えたことによりトンネリングパケットが多くのポートに送信されると、ネットワーク障害が発生する可能性があります。

shutdown-threshold キーワードを入力して、シャットダウンするまでにインターフェイスで受信されるプロトコルの pps（パケット/秒）数を制御します。このキーワードにプロトコルオプションが指定されていない場合は、しきい値が各トンネリングレイヤ 2 プロトコルタイプに適用されます。インターフェイスにドロップしきい値も設定する場合は、シャットダウンしきい値がドロップしきい値以上でなければなりません。

シャットダウンしきい値に到達すると、インターフェイスが errdisable になります。 errdisable recovery cause l2ptguard グローバルコンフィギュレーションコマンドを入力し、エラー回復をイネーブルにした場合、インターフェイスは errdisable ステートから抜け出し、すべての原因がタイムアウトになったときに動作を再開します。 l2ptguard でエラー回復メカニズムをイネーブルにしない場合、インターフェイスは、 shutdown および no shutdown インターフェイスコンフィギュレーションコマンドが入力されるまで errdisable ステートのままになります。

drop-threshold キーワードを入力して、インターフェイスがパケットをドロップするまでにインターフェイスで受信されるプロトコルの pps（パケット/秒）数を制御します。このキーワードにプロトコルオプションが指定されていない場合は、しきい値が各トンネリングレイヤ 2 プロトコルタイプに適用されます。インターフェイスにシャットダウンしきい値も設定する場合は、ドロップしきい値がシャットダウンしきい値以下でなければなりません。

ドロップしきい値に到達すると、受信されるレートがドロップしきい値を下回るまでインターフェイスがレイヤ 2 プロトコルパケットをドロップします。

設定は NVRAM に保存されます。

レイヤ 2 プロトコルトンネリングに関する詳細については、このリリースに対応するソフトウェアコンフィギュレーションガイドを参照してください。

例

次の例では、CDP パケットのプロトコルトンネリングをイネーブルにし、シャットダウンしきい値を 50 pps に設定する方法を示します。

Switch(config-if)# l2protocol-tunnel cdp

Switch(config-if)# l2protocol-tunnel shutdown-threshold cdp 50

次の例では、STP パケットのプロトコルトンネリングをイネーブルにし、ドロップしきい値を 400 pps に設定する方法を示します。

Switch(config-if)# l2protocol-tunnel stp

Switch(config-if)# l2protocol-tunnel drop-threshold stp 400

次の例では、PAgP および UDLD パケットのポイントツーポイントプロトコルトンネリングをイネーブルにし、PAgP ドロップしきい値を 1000 pps に設定する方法を示します。

Switch(config-if)# l2protocol-tunnel point-to-point pagp

Switch(config-if)# l2protocol-tunnel point-to-point udld

Switch(config-if)# l2protocol-tunnel drop-threshold point-to-point pagp 1000

l2protocol-tunnel cos

トンネリングされたレイヤ 2 プロトコルパケットすべてに、サービスクラス（CoS）値を設定するには、 l2protocol-tunnel cos グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

l2protocol-tunnel cos value

no l2protocol-tunnel cos

（注）このコマンドは、スイッチが IP サービスイメージを稼動している場合にだけ使用できます。

シンタックスの説明

value

トンネリングレイヤ 2 プロトコルパケットの CoS プライオリティ値を指定します。CoS 値がインターフェイスのデータパケットに対して設定されている場合、デフォルトでこの CoS 値が使用されます。インターフェイスに CoS 値が設定されていない場合、デフォルトは 5 です。指定できる範囲は 0 ～ 7 です。7 が最も高いプライオリティです。

デフォルト

デフォルトでは、インターフェイス上のデータに対して設定された CoS 値が使用されます。CoS 値が設定されていない場合は、すべてのトンネリングレイヤ 2 プロトコルパケットのデフォルトは 5 です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

イネーブルの場合、トンネリングレイヤ 2 プロトコルパケットがこの CoS 値を使用します。

NVRAM（不揮発性 RAM）に値が保存されます。

例

次の例では、レイヤ 2 プロトコルトンネルの CoS 値を 7 に設定する方法を示します。

Switch(config)# l2protocol-tunnel cos 7

lacp port-priority

Link Aggregation Control Protocol（LACP）のポートプライオリティを設定するには、 lacp port-priority インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

lacp port-priority priority

no lacp port-priority

シンタックスの説明

priority

LACP のポートプライオリティ。指定できる範囲は 1 ～ 65535 です。

デフォルト

デフォルト値は 32768 です。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

lacp port-priority インターフェイスコンフィギュレーションコマンドは、LACP チャネルグループに 9 つ以上のポートがある場合、バンドルされるポートと、ホットスタンバイモードに置かれるポートを判別します。

LACP チャネルグループは、同じタイプのイーサネットポートを 16 個まで保有できます。最大 8 個のポートをアクティブにして、最大 8 個のポートをスタンバイモードにすることができます。

ポートプライオリティの比較では、 数値が小さい ほど プライオリティが高く なります。LACP チャネルグループに 9 個以上のポートがある場合、LACP ポートプライオリティの数値が小さい（つまり、プライオリティが高い）8 個のポートがチャネルグループにバンドルされ、それよりプライオリティが低いポートはホットスタンバイモードになります。LACP ポートプライオリティが同じポートが 2 つ以上ある場合（たとえば、そのいずれもデフォルト設定の 65535 に設定されている場合）、ポート番号の内部値によりプライオリティが決定します。

（注） LACP リンクを制御するスイッチ上にポートがある場合のみ、LACP ポートプライオリティは有効です。リンクを制御するスイッチの判別については、lacp system-priority グローバルコンフィギュレーションコマンドを参照してください。

LACP ポートプライオリティおよび内部ポート番号値を表示するには、 show lacp internal 特権 EXEC コマンドを使用します。

物理ポート上での LACP の設定については、このリリースに対応するソフトウェアコンフィギュレーションガイドの「Configuring EtherChannels」の章を参照してください。

例

次の例では、ポートで LACP ポートプライオリティを設定する方法を示します。

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# lacp port-priority 1000

設定を確認するには、 show lacp [ channel-group-number ] internal 特権 EXEC コマンドを入力します。

lacp system-priority

Link Aggregation Control Protocol（LACP）のシステムプライオリティを設定するには、 lacp system-priority グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

lacp system-priority priority

no lacp system-priority

シンタックスの説明

priority

LACP のシステムプライオリティ。指定できる範囲は 1 ～ 65535 です。

デフォルト

デフォルト値は 32768 です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

lacp system-priority コマンドでは、ポートプライオリティを制御する LACP リンクのスイッチが判別されます。

LACP チャネルグループは、同じタイプのイーサネットポートを 16 個まで保有できます。最大 8 個のポートをアクティブにして、最大 8 個のポートをスタンバイモードにすることができます。LACP チャネルグループに 9 つ以上のポートがある場合、リンクの制御側終端にあるスイッチは、ポートプライオリティを使用して、チャネルにバンドルするポートおよびホットスタンバイモードに置くポートを判別します。他のスイッチ上のポートプライオリティ（リンクの非制御側終端）は無視されます。

プライオリティの比較においては、数値が小さいほどプライオリティが高くなります。したがって、LACP システムプライオリティの数値が小さい（プライオリティ値の高い）システムが制御システムとなります。どちらのスイッチも同じ LACP システムプライオリティである場合（たとえば、どちらもデフォルト設定の 32768 が設定されている場合）、LACP システム ID（スイッチの MAC アドレス）により制御するスイッチが判別されます。

lacp system-priority コマンドは、スイッチ上のすべての LACP EtherChannel に適用されます。

ホットスタンバイモードにあるポート（出力表示に H ポートステートフラグで表されます）を確認するには、 show etherchannel summary 特権 EXEC コマンドを使用します。

物理ポート上での LACP の設定の詳細については、このリリースに対応するソフトウェアコンフィギュレーションガイドの「Configuring EtherChannels」の章を参照してください。

例

次の例では、LACP のシステムプライオリティを設定する方法を示します。

Switch(config)# lacp system-priority 20000

設定を確認するには、 show lacp sys-id 特権 EXEC コマンドを入力します。

location (global configuration)

エンドポイントのロケーション情報を設定するには、 location グローバルコンフィギュレーション コマンドを使用します。ロケーション情報を削除する場合は、このコマンドの no 形式を使用します。

location { admin-tag string | civic-location identifier id | elin-location string identifier id}

no location { admin-tag string | civic-location identifier id | elin-location string identifier id}

シンタックスの説明

admin-tag	管理タグまたはサイト情報を設定します。
civic-location	都市ロケーション情報を設定します。
elin-location	緊急ロケーション情報（ELIN）を設定します。
identifier id	都市ロケーションまたは elin ロケーションの ID を指定します。指定できる ID 範囲は 1 ～ 4095 です。（注）指定できる LLDP-MED TLV の都市ロケーション ID は 250 バイトです。スイッチ設定時にバッファ空き容量に関するエラーメッセージが表示されないように、それぞれの都市ロケーション ID に指定された都市ロケーション情報の長さの合計が 250 バイトを超過しないように注意してください。
ストリング	サイト情報またはロケーション情報を英数字形式で指定します。

デフォルト

このコマンドにはデフォルト設定はありません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

location civic-location identifier id グローバルコンフィギュレーションコマンドを入力後、都市ロケーションコンフィギュレーションモードが開始されます。このモードでは、都市ロケーションおよび郵便ロケーション情報を入力できます。

指定できる都市ロケーション ID は 250 以内です。

ロケーション TLV をディセーブルにするには、no lldp med-tlv-select location 情報インターフェイスコンフィギュレーションコマンドを使用します。デフォルトでは、ロケーション TLV はイネーブルに設定されています。詳細については、このリリースに対応するソフトウェアコンフィギュレーションガイドの「Configuring LLDP and LLDP-MED」の章を参照してください。

例

次の例では、スイッチに都市ロケーション情報を設定する方法を示します。

Switch(config)# location civic-location identifier 1
Switch(config-civic)# number 3550
Switch(config-civic)# primary-road-name "Cisco Way"
Switch(config-civic)# city "San Jose"
Switch(config-civic)# state CA
Switch(config-civic)# building 19
Switch(config-civic)# room C6
Switch(config-civic)# county "Santa Clara"
Switch(config-civic)# country US
Switch(config-civic)# end

You can verify your settings by entering the show location civic-location privileged EXEC command.

次の例では、スイッチ上で緊急ロケーション情報を設定する方法を示します。

Switch (config)# location elin-location 14085553881 identifier 1

設定を確認するには、 show location elin 特権 EXEC コマンドを入力します。

location (interface configuration)

インターフェイスのロケーション情報を設定するには、 location interface コマンドを使用します。インターフェイスのロケーション情報を削除するには、このコマンドの no 形式を使用します。

location { additional-location-information word | civic-location-id id | elin-location-id id}

no location { additional-location-information word | civic-location-id id | elin-location-id id}

シンタックスの説明

additional-location-information	ロケーションまたは場所に関する追加情報を設定します。
word	追加のロケーション情報を指定する語またはフレーズを指定します。
civic-location-id	インターフェイスにグローバル都市ロケーション情報を設定します。
elin-location-id	インターフェイスに緊急ロケーション情報を設定します。
id	都市ロケーションまたは elin ロケーションの ID を指定します。指定できる ID 範囲は 1 ～ 4095 です。（注）指定できる LLDP-MED TLV の都市ロケーション ID は 250 バイトです。スイッチ設定時にバッファ空き容量に関するエラーメッセージが表示されないように、それぞれの都市ロケーション ID に指定された都市ロケーション情報の長さの合計が 250 バイトを超過しないように注意してください。

デフォルト

このコマンドにはデフォルト設定はありません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

location civic-location-id id インターフェイスコンフィギュレーションコマンドを入力すると、都市ロケーションコンフィギュレーションモードに入ります。このモードでは、追加のロケーション情報を入力できます。

指定できる都市ロケーション ID は 250 以内です。

例

次の例では、インターフェイスに都市ロケーション情報を入力する方法を示します。

Switch(config-if)# interface gigabitethernet1/1

Switch(config-if)# location civic-location-id 1

Switch(config-if)# end

設定を確認するには、show location civic interface 特権 EXEC コマンドを入力します。

次の例では、インターフェイスに緊急ロケーション情報を入力する方法を示します。

Switch(config-if)# interface gigabitethernet1/1

Switch(config-if)# location elin-location-id 1

Switch(config-if)# end

設定を確認するには、show location elin interface 特権 EXEC コマンドを入力します。

link state group

リンクステートグループのメンバーとしてポートを設定するには、 link state group インターフェイスコンフィギュレーションコマンドを使用します。リンクステートグループからポートを削除するには、このコマンドの no 形式を使用します。

link state group [ number ] { upstream | downstream }

no link state group [ number ] { upstream | downstream }

シンタックスの説明

number	（任意）リンクステートグループ番号を指定します。グループ番号は、1 ～ 2 です。デフォルトは 1 です。
upstream	ポートを特定のリンクステートグループのアップストリームポートとして設定します。
downstream	ポートを特定のリンクステートグループのダウンストリームポートとして設定します。

デフォルト

デフォルトのグループは group 1 です。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

指定されたリンクステートグループのアップストリームまたはダウンストリームインターフェイスとしてポートを設定するには、 link state group インターフェイスコンフィギュレーションコマンドを使用します。グループ番号が省略されている場合、デフォルトのグループ番号は 1 です。

リンクステートトラッキングをイネーブルにするには、 link-state group を作成し、リンクステートグループに割り当てるインターフェイスを指定します。ポートの集合（EtherChannel）、アクセスモードまたはトランクモードの単一の物理ポート、またはルーテッドポートをインターフェイスに指定できます。リンクステートグループでは、これらのインターフェイスはまとめてバンドルされます。 ダウンストリームインターフェイス は、 アップストリームインターフェイス にバインドされます。サーバに接続されたインターフェイスはダウンストリームインターフェイスと呼ばれ、ディストリビューションスイッチおよびネットワーク装置に接続されたインターフェイスはアップストリームインターフェイスと呼ばれます。

ダウンストリームインターフェイスとアップストリームインターフェイス間の連動の詳細については、このリリースに対応するソフトウェアコンフィギュレーションガイドの「Configuring EtherChannels and Link-State Tracking」を参照してください。

設定上の問題を回避するために、次の注意事項に従ってください。

• アップストリームインターフェイスとして定義されているインターフェイスを、同じまたは異なるリンクステートグループ内でダウンストリームインターフェイスとして定義することはできません。その逆も同様です。

• インターフェイスは、複数のリンクステートグループのメンバーにはなれません。

• スイッチごとに設定できるのは、2 個のリンクステートグループのみです。

例

次の例では、group 2 でインターフェイスを upstream として設定する方法を示します。

Switch# configure terminal

Switch(config)# interface range gigabitethernet1/1 - 2

Switch(config-if-range)# link state group 2 downstream

Switch(config-if-range)# end

Switch(config-if)# end

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

link state track

リンクステートグループをイネーブルにするには、 link state track ユーザ EXEC コマンドを使用します。リンクステートグループをディセーブルにするには、このコマンドの no 形式を使用します。

link state track [ number ]

no link state track [ number ]

シンタックスの説明

number

（任意）リンクステートグループ番号を指定します。グループ番号は、1 ～ 2 です。デフォルトは 1 です。

デフォルト

リンクステートトラッキングは、すべてのグループでディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

リンクステートグループをイネーブルにするには、 link state track グローバルコンフィギュレーションコマンドを使用します。

例

次の例では、リンクステートグループの group 2 をイネーブルにする方法を示します。

Switch(config)# link state track 2

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

logging event

インターフェイスリンクステータス変更の通知をイネーブルにするには、 logging event インターフェイスコンフィギュレーションコマンドを使用します。通知をディセーブルにするには、このコマンドの no 形式を使用します。

logging event { bundle-status | link-status | spanning-tree | status | trunk status }

no logging event { bundle-status | link-status | spanning-tree | status | trunk status }

シンタックスの説明

bundle-status	BUNDLE および UNBUNDLE メッセージの通知をイネーブルにします。
link-status	インターフェイスデータリンクステータス変更の通知をイネーブルにします。
spanning-tree	スパニングツリーイベントの通知をイネーブルにします。
status	スパニングツリーステート変更メッセージの通知をイネーブルにします。
trunk-status	トランクステータスメッセージの通知をイネーブルにします。

デフォルト

イベントロギングはディセーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

例

次の例では、スパニングツリーロギングをイネーブルにする方法を示します。

Switch(config-if)# logging event spanning-tree

logging file

ロギングファイルパラメータを設定するには、 logging file グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

logging file filesystem : filename [ max-file-size | nomax [ min-file-size ]] [ severity-level-number | type ]

no logging file filesystem: filename [ severity-level-number | type ]

シンタックスの説明

filesystem : filename	フラッシュファイルシステムのエイリアスです。ログメッセージを持つファイルのパスおよび名前を含みます。ローカルフラッシュファイルシステムの構文 flash:
max-file-size	（任意）ログファイルの最大サイズを指定します。指定できる範囲は 4096 ～ 2147483647 です。
nomax	（任意）最大ファイルサイズ（2147483647）を指定します。
min-file-size	（任意）ログファイルの最小サイズを指定します。指定できる範囲は 1024 ～ 2147483647 です。
severity-level-number	（任意）ログファイルの重大度のレベルを指定します。指定できる範囲は 0 ～ 7 です。各レベルの意味については、 type オプションを参照してください。
type	（任意）ログタイプを指定します。次のキーワードが有効です。 • emergencies ：システムは使用不可（重大度 0） • alerts ：早急な対応が必要（重大度 1） • critical ：危険な状態（重大度 2） • errors ：エラーが発生している状態（重大度 3） • warnings ：警告状態（重大度 4） • notifications ：通常ではあるが、重要なメッセージ（重大度 5） • information ：通知メッセージ（重大度 6） • debugging ：デバッグメッセージ（重大度 7）

デフォルト

ファイルサイズは最小で 2048 バイト、最大で 4096 バイトになります。

デフォルトの重大度のレベルは 7（ debugging メッセージ：数字的に低いレベル）です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

ログファイルはスイッチの内部バッファに ASCII テキスト形式で保存されます。ロギングされたシステムメッセージにアクセスするには、スイッチの CLI（コマンドラインインターフェイス）を使用するか、または適切に設定された Syslog サーバにこれらのシステムメッセージを保存します。スイッチに障害が生じた場合は、それ以前に logging file flash: filename グローバルコンフィギュレーションコマンドを使用してフラッシュメモリにログを保存していないかぎり、ログは失われます。

logging file flash: filename グローバルコンフィギュレーションコマンドで、ログをフラッシュメモリに保存したあとは、 more flash: filename 特権 EXEC コマンドを使用してその内容を表示できます。

最小ファイルサイズが、最大ファイルサイズから 1024 引いた数より大きい場合、コマンドはその最小ファイルを拒否し、最大ファイルサイズから 1024 引いたサイズで設定されます。

level を指定すると、そのレベルのメッセージおよび数字的に低いレベルのメッセージが表示されます。

例

次の例では、フラッシュメモリに情報レベルのログを保存する方法を示します。

Switch(config)# logging file flash:logfile informational

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

mab request format attribute 32

スイッチで VLAN ID ベースの MAC 認証をイネーブルにするには、mab request format attribute 32 vlan access-vlan グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mab request format attribute 32 vlan access-vlan

no mab request format attribute 32 vlan access-vlan

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

VLAN-ID ベースの MAC 認証はディセーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

RADIUS サーバでホスト MAC アドレスと VLAN に基づいて新規ユーザベースを認証するには、このコマンドを使用します。

この機能は Microsoft IAS RADIUS サーバのネットワークで使用できます。Cisco ACS ではこのコマンドは無視されます。

例

次の例では、スイッチで VLAN-ID ベースの MAC 認証をイネーブルにする方法を示します。

Switch(config)# authentication mac-move permit

mac access-group

MAC アクセスコントロールリスト（ACL）をレイヤ 2 インターフェイスに適用するには、 mac access-group インターフェイスコンフィギュレーションコマンドを使用します。インターフェイスからすべてまたは指定の MAC ACL を削除するには、このコマンドの no 形式を使用します。MAC ACL を作成するには、 mac access-list extended グローバルコンフィギュレーションコマンドを使用します。

mac access-group { name } in

no mac access-group { name }

シンタックスの説明

name	名前付き MAC アクセスリストを指定します。
in	ACL が入力方向に適用されるように指定します。出力 ACL はレイヤ 2 インターフェイスではサポートされていません。

デフォルト

MAC ACL は、インターフェイスには適用されません。

コマンドモード

インターフェイスコンフィギュレーション（レイヤ 2 インターフェイスのみ）

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

MAC ACL は入力レイヤ 2 インターフェイスにだけ適用できます。レイヤ 3 インターフェイスには適用できません。

レイヤ 2 インターフェイスでは、IP アクセスリストを使用して IP トラフィックをフィルタリングし、MAC アクセスリストを使用して非 IP トラフィックをフィルタリングできます。インターフェイスに IP ACL と MAC ACL の両方を適用すると、同じレイヤ 2 インターフェイスで IP トラフィックと非 IP トラフィックの両方をフィルタリングできます。同じレイヤ 2 インターフェイスには、IP アクセスリストと MAC アクセスリストを 1 つずつしか適用できません。

MAC ACL がすでにレイヤ 2 インターフェイスに設定されており、新しい MAC ACL をインターフェイスに適用した場合、以前に設定されていた ACL は新しい ACL で置換されます。

スイッチ上でレイヤ 2 インターフェイスに ACL を適用する場合に、そのスイッチに対してレイヤ 3 ACL が適用されているか、またはインターフェイスがメンバーである VLAN に VLAN マップが適用されていれば、レイヤ 2 インターフェイスに適用された ACL が有効になります。

スイッチは、MAC ACL が適用されたインターフェイス上で入力パケットを受信すると、その ACL 内の一致条件を調べます。条件が一致すると、スイッチは ACL に従ってパケットを転送またはドロップします。

指定された ACL が存在しない場合、スイッチはすべてのパケットを転送します。

MAC 拡張 ACL を設定する方法の詳細については、このリリースのソフトウェアコンフィギュレーションガイドの「Configuring Network Security with ACLs」の章を参照してください。

例

次の例では、macacl2 と名付けられた MAC 拡張 ACL をインターフェイスに適用する方法を示します。

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# mac access-group macacl2 in

設定を確認するには、 show mac access-group 特権 EXEC コマンドを入力します。スイッチに設定された ACL を表示するには、 show access-lists 特権 EXEC コマンドを入力します。

mac access-list extended

非 IP トラフィックの MAC アドレスに基づいたアクセスリストを作成するには、 mac access-list extended グローバルコンフィギュレーションコマンドを使用します。このコマンドを使用すると、拡張 MAC アクセスリストコンフィギュレーションモードに入ります。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mac access-list extended name

no mac access-list extended name

シンタックスの説明

name

MAC 拡張アクセスリストに名前を割り当てます。

デフォルト

デフォルトでは、MAC アクセスリストは作成されません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

MAC 名前付き拡張リストは、VLAN マップおよびクラスマップとともに使用されます。

名前付き MAC 拡張 ACL は、VLAN マップまたはレイヤ 2 インターフェイスに適用できます。レイヤ 3 インターフェイスには適用できません。

mac access-list extended コマンドを入力すると、MAC アクセスリストコンフィギュレーションモードがイネーブルになります。使用できるコンフィギュレーションコマンドは、次のとおりです。

• default ：コマンドをそのデフォルトに設定します。

• deny ：拒否するパケットを指定します。詳細については、deny (MAC access-list configuration) MAC アクセスリストコンフィギュレーションコマンドを参照してください。

• exit ：MAC アクセスリストコンフィギュレーションモードを終了します。

• no ：コマンドを無効にするか、デフォルト値を設定します。

• permit ：転送するパケットを指定します。詳細については、permit (MAC access-list configuration) コマンドを参照してください。

MAC 拡張アクセスリストの詳細については、このリリースに対応するソフトウェアコンフィギュレーションガイドを参照してください。

例

次の例では、名前付き MAC 拡張アクセスリスト mac1 を作成し、拡張 MAC アクセスリストコンフィギュレーションモードを開始する方法を示します。

Switch(config)# mac access-list extended mac1

Switch(config-ext-macl)#

次の例では、名前付き MAC 拡張アクセスリスト mac1 を削除する方法を示します。

Switch(config)# no mac access-list extended mac1

設定を確認するには、 show access-lists 特権 EXEC コマンドを入力します。

mac address-table aging-time

ダイナミックエントリが使用または更新されたあと、MAC アドレステーブル内に維持される時間を設定するには、 mac address-table aging-time グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。エージングタイムはすべての VLAN、または指定の VLAN に対して適用されます。

mac address-table aging-time { 0 | 10-1000000 } [ vlan vlan-id ]

no mac address-table aging-time { 0 | 10-1000000 } [ vlan vlan-id ]

シンタックスの説明

0	この値はエージングをディセーブルにします。スタティックアドレスは、期限切れになることもテーブルから削除されることもありません。
10-1000000	エージングタイム（秒）。指定できる範囲は 10 ～ 1000000 秒です。
vlan vlan-id	（任意）エージングタイムを適用する VLAN ID を指定します。指定できる範囲は 1 ～ 4094 です。

デフォルト

デフォルト値は 300 秒です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

ホストが継続して送信しない場合、エージングタイムを長くして、より長い時間ダイナミックエントリを記録してください。時間を長くすることで、ホストが再送信した場合にフラッディングが起こりにくくなります。

特定の VLAN を指定しない場合、このコマンドはすべての VLAN に対してエージングタイムを設定します。

例

次の例では、すべての VLAN にエージングタイムを 200 秒に設定する方法を示します。

Switch(config)# mac address-table aging-time 200

show mac address-table aging-time 特権 EXEC コマンドを入力すると、設定を確認できます。

mac address-table learning vlan

VLAN で MAC アドレス学習をイネーブルにするには、 mac address-table learning グローバルコンフィギュレーションコマンドを使用します。これがデフォルトの状態になります。VLAN で MAC アドレス学習をディセーブルにして、MAC アドレスを学習できる VLAN を制御するには、このコマンドの no 形式を使用します。

mac address-table learning vlan vlan-id

no mac address-table learning vlan vlan-id

シンタックスの説明

vlan-id

1 つの VLAN ID を指定するか、一連の VLAN ID をハイフンまたはカンマで区切って指定します。指定できる VLAN ID は 1 ～ 4094 です。VLAN を内部 VLAN にすることはできません。

デフォルト

デフォルトでは、MAC アドレス学習はすべての VLAN でイネーブルです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(46)SE1	このコマンドが追加されました。

使用上のガイドライン

VLAN で MAC アドレス学習を制御する場合、MAC アドレスを学習できる VLAN、さらにポートを制御することで、使用可能な MAC アドレステーブルスペースを管理できます。

MAC アドレス学習は、1 つの VLAN ID（例： no mac address-table learning vlan 223 ）または一連の VLAN ID（例： no mac address-table learning vlan 1-20, 15 ）でディセーブルにすることができます。

MAC アドレス学習をディセーブルにする前に、ネットワークトポロジとスイッチシステム設定に詳しいことを確認してください。VLAN で MAC アドレス学習をディセーブルにすると、ネットワークでフラッディングを引き起こす可能性があります。たとえば、スイッチ仮想インターフェイス（SVI）を設定済みの VLAN で MAC アドレス学習をディセーブルにした場合、スイッチはレイヤ 2 ドメインにすべての IP パケットをフラッディングします。3 つ以上のポートを含む VLAN で MAC アドレス学習をディセーブルにした場合、スイッチに着信するすべてのパケットは、その VLAN ドメインでフラッディングします。MAC アドレス学習のディセーブル化はポートを 2 つ含む VLAN のみで行い、SVI のある VLAN で MAC アドレス学習をディセーブルにする場合は十分注意してください。

スイッチが内部的に使用する VLAN で MAC アドレス学習はディセーブルにできません。 no mac address-table learning vlan vlan-id コマンドに入力する VLAN ID が内部 VLAN である場合、スイッチはエラーメッセージを生成してコマンドを拒否します。使用している内部 VLAN を表示するには、 show vlan internal usage 特権 EXEC コマンドを入力します。

プライベート VLAN のプライマリまたはセカンダリ VLAN として設定された VLAN で MAC アドレス学習をディセーブルにする場合、MAC アドレスは、そのプライベート VLAN に属する別の VLAN（プライマリまたはセカンダリ）上で引き続き学習されます。

RSPAN VLAN で MAC アドレス学習はディセーブルにできません。設定すること自体できません。

セキュアポートを含む VLAN で MAC アドレス学習をディセーブルにする場合、セキュアポートで MAC アドレス学習はディセーブルになりません。あとでインターフェイスのポートセキュリティをディセーブルにすると、ディセーブルになった MAC アドレス学習の状態がイネーブルになります。

すべての VLAN、または指定した VLAN の MAC アドレス学習のステータスを表示するには、 show mac-address-table learning [ vlan vlan-id ] コマンドを入力します。

例

次の例では、VLAN 2003 で MAC アドレス学習をディセーブルにする方法を示します。

Switch(config)# no mac address-table learning vlan 2003

mac address-table move update

MAC アドレステーブル移行更新機能をイネーブルにするには、 mac address-table move update グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mac address-table move update { receive | transmit }

no mac address-table move update { receive | transmit }

シンタックスの説明

receive	スイッチが MAC アドレステーブル移行更新メッセージを処理するよう指定します。
transmit	プライマリリンクがダウンし、スタンバイリンクが起動した場合、スイッチが MAC アドレステーブル移行更新メッセージをネットワークの他のスイッチに送信するよう指定します。

コマンドモード

グローバルコンフィギュレーション

デフォルト

デフォルトでは、MAC アドレステーブル移行更新機能はディセーブルです。

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

MAC アドレステーブル移行更新機能により、プライマリ（フォワーディング）リンクがダウンし、スタンバイリンクがトラフィックのフォワーディングを開始した場合、スイッチは高速双方向コンバージェンスを提供できます。

プライマリリンクがダウンし、スタンバイリンクが起動した場合、アクセススイッチが MAC アドレステーブル移行更新メッセージを送信するように設定できます。アップリンクスイッチが、MAC アドレステーブル移行更新メッセージを受信および処理するように設定できます。

例

次の例では、アクセススイッチが MAC アドレステーブル移行更新メッセージを送信するように設定する方法を示します。

Switch# configure terminal

Switch(conf)# mac address-table move update transmit

Switch(conf)# end

次の例では、アップリンクスイッチが MAC アドレステーブル移行更新メッセージを取得および処理するように設定する方法を示します。

Switch# configure terminal

Switch(conf)# mac address-table move update receive

Switch(conf)# end

設定を確認するには、 show mac address-table move update 特権 EXEC コマンドを入力します。

mac address-table notification

スイッチで MAC アドレス通知機能をイネーブルにするには、 mac address-table notification グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mac address-table notification { change [ history-size value | interval value ] | mac-move | threshold [[ limit percentage ] interval time ]}

no mac address-table notification { change [ history-size value | interval value ] | mac-move | threshold [[ limit percentage ] interval time ]}

シンタックスの説明

change	スイッチの MAC 通知をイネーブルまたはディセーブルにします。
history-size value	（任意）MAC 通知履歴テーブルのエントリの最大数を設定します。指定できる範囲は 0 ～ 500 エントリです。デフォルトは 1 です。
interval value	（任意）通知トラップ間隔を設定します。この時間量が過ぎると、スイッチは通知トラップを送信します。指定できる範囲は 0 ～ 2147483647 秒です。デフォルト値は 1 秒です。
mac-move	MAC 移動通知をイネーブルにします。
threshold	MAC しきい値通知をイネーブルにします。
limit percentage	（任意）MAC 使用率しきい値をパーセンテージで入力します。指定できる範囲は 1 ～ 100% です。デフォルト値は 50% です。
interval time	（任意）MAC しきい値通知が送信される間隔を入力します。指定できる範囲は 120 ～ 1000000 秒です。デフォルト値は 120 秒です。

デフォルト

デフォルトでは、MAC アドレス通知、MAC 移動、および MAC しきい値モニタリングはディセーブルです。

デフォルトの MAC 変更トラップ間隔は 1 秒です。

デフォルトの履歴テーブルのエントリ数は 1 です。

デフォルトの MAC 使用率しきい値は 50% です。

デフォルトの MAC しきい値通知間隔は 120 秒です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

MAC アドレス通知変更機能は、新しい MAC アドレスが転送テーブルに追加されたり、古いアドレスがそこから削除されたりするたびに、SNMP（簡易ネットワーク管理プロトコル）トラップを Network Management System（NMS; ネットワーク管理システム）に送信します。MAC 変更通知は、ダイナミック MAC アドレスおよびセキュア MAC アドレスでのみ生成され自アドレス、マルチキャストアドレス、または他のスタティックアドレスについては生成されません。

history-size オプションを設定している場合、既存の MAC アドレス履歴テーブルが削除され、新しいテーブルが作成されます。

MAC アドレス通知変更機能をイネーブルにするには、 mac address-table notification change コマンドを使用します。また、 snmp trap mac-notification change インターフェイスコンフィギュレーションコマンドでインターフェイス上の MAC アドレス通知トラップをイネーブルにし、 snmp-server enable traps mac-notification change グローバルコンフィギュレーションコマンドでスイッチが MAC アドレストラップを NMS に送信するよう設定する必要があります。

MAC アドレスが同じ VLAN 内の他のポートに変わるとトラップがイネーブルになるよう設定できます。これには、 mac address-table notification mac-move コマンドおよび snmp-server enable traps mac-notification move グローバルコンフィギュレーションコマンドを入力します。

MAC アドレステーブルのしきい値上限に到達または超過すると、トラップが生成されるようにするには、 mac address-table notification threshold [ limit percentage ] | [ interval time ] コマンドおよび snmp-server enable traps mac-notification threshold グローバルコンフィギュレーションコマンドを入力します。

例

次の例では、MAC アドレステーブル変更通知機能をイネーブルにし、通知トラップの間隔を 60 秒、履歴テーブルのサイズを 100 エントリに設定する方法を示します。

Switch(config)# mac address-table notification change

Switch(config)# mac address-table notification change interval 60

Switch(config)# mac address-table notification change history-size 100

show mac address-table notification 特権 EXEC コマンドを入力すれば、設定を確認することができます。

mac address-table static

MAC アドレステーブルにスタティックアドレスを追加するには、 mac address-table static グローバルコンフィギュレーションコマンドを使用します。スタティックエントリをテーブルから削除するには、このコマンドの no 形式を使用します。

mac address-table static mac-addr vlan vlan-id interface interface-id

no mac address-table static mac-addr vlan vlan-id [ interface interface-id ]

シンタックスの説明

mac-addr	アドレステーブルに追加する宛先 MAC アドレス（ユニキャストまたはマルチキャスト）。この宛先アドレスを持つパケットが指定した VLAN に着信すると、指定したインターフェイスに転送されます。
vlan vlan-id	指定した MAC アドレスを持つパケットを受信する VLAN を指定します。指定できる範囲は 1 ～ 4094 です。
interface interface-id	受信されたパケットを転送するインターフェイス。有効なインターフェイスは、物理ポートおよびポートチャネルです。

デフォルト

スタティックアドレスは設定されていません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

例

次の例では、MAC アドレステーブルにスタティックアドレス c2f3.220a.12f4 を追加する方法を示します。VLAN 4 でこの MAC アドレスを宛先としてパケットを受信すると、パケットは指定されたインターフェイスに転送されます。

Switch(config)# mac address-table static c2f3.220a.12f4 vlan 4 interface gigabitethernet 1/1

設定を確認するには、 show mac address-table 特権 EXEC コマンドを入力します。

mac address-table static drop

ユニキャスト MAC アドレスフィルタリングをイネーブルにして、特定の送信元または宛先 MAC アドレスのトラフィックをドロップするようにスイッチを設定するには、 mac address-table static drop グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mac address-table static mac-addr vlan vlan-id drop

no mac address-table static mac-addr vlan vlan-id

シンタックスの説明

mac-addr	ユニキャスト送信元または宛先 MAC アドレス。この MAC アドレスを持つパケットはドロップされます。
vlan vlan-id	指定した MAC アドレスを持つパケットを受信する VLAN を指定します。指定できる VLAN ID は 1 ～ 4094 です。

デフォルト

ユニキャスト MAC アドレスフィルタリングはディセーブルです。スイッチは、特定の送信元または宛先 MAC アドレスのトラフィックをドロップしません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

この機能を使用する場合、次の注意事項に従ってください。

• マルチキャスト MAC アドレス、ブロードキャスト MAC アドレス、およびルータ MAC アドレスはサポートされません。CPU に転送されるパケットもサポートされません。

• ユニキャスト MAC アドレスをスタティックアドレスとして追加し、ユニキャスト MAC アドレスフィルタリングを設定する場合は、最後に入力されたコマンドに応じて、スイッチは MAC アドレスをスタティックアドレスとして追加するか、またはその MAC アドレスを持つパケットをドロップします。2 番目に入力したコマンドは、最初のコマンドを上書きします。

たとえば、 mac address-table static mac-addr vlan vlan-id interface interface-id グローバルコンフィギュレーションコマンドのあとに mac address-table static mac-addr vlan vlan-id drop コマンドを入力した場合は、スイッチは送信元または宛先として指定された MAC アドレスを持つパケットをドロップします。

mac address-table static mac-addr vlan vlan-id drop グローバルコンフィギュレーションコマンドのあとに mac address-table static mac-addr vlan vlan-id interface interface-id コマンドを入力した場合は、スイッチがその MAC アドレスをスタティックアドレスとして追加します。

例

次の例では、ユニキャスト MAC アドレスフィルタリングをイネーブルにし、c2f3.220a.12f4 の送信元または宛先アドレスを持つパケットをドロップするようにスイッチを設定する方法を示します。送信元または宛先としてこの MAC アドレスを持つパケットが VLAN4 上で受信された場合、パケットがドロップされます。

Switch(config)# mac address-table static c2f3.220a.12f4 vlan 4 drop

次の例では、ユニキャスト MAC アドレスフィルタリングをディセーブルにする方法を示します。

Switch(config)# no mac address-table static c2f3.220a.12f4 vlan 4

show mac address-table static 特権 EXEC コマンドを入力すれば、設定を確認することができます。

macro apply

インターフェイスにマクロを適用するか、またはインターフェイスにマクロ設定を適用してこれを追跡するには、 macro apply インターフェイスコンフィギュレーションコマンドを使用します。

macro { apply | trace } macro-name [ parameter { value }] [ parameter { value }]
[ parameter { value }]

シンタックスの説明

apply	指定したインターフェイスにマクロを適用します。
trace	インターフェイスにマクロを適用し、そのマクロをデバッグするには、 trace キーワードを使用します。
macro - name	マクロ名を指定します。
parameter value	（任意）インターフェイスに固有の一意のパラメータ値を指定します。最高 3 つのキーワードと値の組み合わせを入力できます。パラメータキーワードの照合では、大文字と小文字が区別されます。キーワードで一致が見られると、すべて対応する値に置き換えられます。

デフォルト

このコマンドにはデフォルト設定はありません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

macro trace macro-name インターフェイスコンフィギュレーションコマンドを使用して、インターフェイス上で実行されているマクロを適用および表示、あるいは構文または設定エラーを判別するためにマクロをデバッグできます。

マクロを適用したとき、構文エラーまたは設定エラーのためにコマンドが失敗した場合、マクロは引き続き残りのコマンドをインターフェイスに適用します。

一意の値の割り当てを必要とするマクロを作成する場合、 parameter value キーワードを使用して、そのインターフェイスに固有の値を指定します。

キーワードの照合では、大文字と小文字が区別されます。キーワードで一致が見られると、すべて対応する値に置き換えられます。キーワードが完全に一致すると、それが長い文字列の一部であったとしても一致と見なされて、対応する値に置き換えられます。

一部のマクロには、パラメータ値が必要なキーワードが含まれます。 macro apply macro-name ? コマンドを使用すると、マクロで必要な値を一覧表示できます。キーワード値を入力せずにマクロを適用した場合、コマンドは無効となり、マクロは適用されません。

スイッチソフトウェアには、シスコデフォルト Smartports マクロが埋め込まれています。 show parser macro ユーザ EXEC コマンドを使用すると、マクロおよびマクロに含まれているコマンドを表示できます。

インターフェイスにシスコデフォルト Smartports マクロを適用する場合は、次の注意事項に従ってください。

• show parser macro ユーザ EXEC コマンドを使用して、スイッチ上のすべてのマクロを表示します。特定のマクロの内容を表示するには、 show parser macro name macro-name ユーザ EXEC コマンドを使用します。

• $ で始まるキーワードには、一意のパラメータ値が必要です。 parameter value キーワードを使用して、必要な値をシスコデフォルトマクロに追加します。

シスコデフォルトマクロは $ という文字を使用しているので、必須キーワードを識別するのに役立ちます。マクロを作成する場合、 $ という文字を使用したキーワードの定義には制限がありません。

マクロをインターフェイスに適用する場合、マクロ名が自動的にインターフェイスに追加されます。 show running-configuration interface interface-id ユーザ EXEC コマンドを使用すると、適用されたコマンドおよびマクロ名を表示できます。

インターフェイスの範囲に適用されたマクロは、単一インターフェイスに適用されたマクロと同じ動作をします。インターフェイスの範囲を使用する場合、マクロはその範囲内の各インターフェイスに順番に適用されます。あるインターフェイスでマクロコマンドが失敗した場合、残りのインターフェイスに適用されていきます。

default interface interface-id インターフェイスコンフィギュレーションコマンドを使用すれば、インターフェイスで適用されたマクロの設定を削除できます。

例

macro name グローバルコンフィギュレーションコマンドを使用してマクロを作成したあとは、そのマクロをインターフェイスに適用できます。次の例では、 duplex という名前のユーザ作成マクロをインターフェイスに適用する方法を示します。

Switch(config-if)# macro apply duplex

マクロをデバッグするには、 macro trace インターフェイスコンフィギュレーションコマンドを使用して、マクロがインターフェイスに適用されたときのマクロの構文または設定エラーを判別できます。次の例では、インターフェイス上の duplex という名前のユーザ作成マクロをトラブルシューティングする方法を示します。

Switch(config-if)# macro trace duplex

Applying command...‘duplex auto’

%Error Unknown error.

Applying command...‘speed nonegotiate’

次の例では、シスコデフォルト cisco-desktop マクロを表示する方法、およびインターフェイス上でマクロを適用し、アクセス VLAN ID を 25 に設定する方法を示します。

Switch# show parser macro cisco-desktop

--------------------------------------------------------------

Macro name : cisco-desktop

Macro type : default

# Basic interface - Enable data VLAN only

# Recommended value for access vlan (AVID) should not be 1

switchport access vlan $AVID

switchport mode access

# Enable port security limiting port to a single

# MAC address -- that of desktop

switchport port-security

switchport port-security maximum 1

# Ensure port-security age is greater than one minute

# and use inactivity timer

switchport port-security violation restrict

switchport port-security aging time 2

switchport port-security aging type inactivity

# Configure port as an edge network port

spanning-tree portfast

spanning-tree bpduguard enable

--------------------------------------------------------------

Switch#

Switch# configure terminal

Switch(config)# interface gigabitethernet 1

Switch(config-if)# macro apply cisco-desktop $AVID 25

macro description

インターフェイスに適用されるマクロの説明を入力するには、 macro description インターフェイスコンフィギュレーションコマンドを使用します。説明を削除するには、このコマンドの no 形式を使用します。

macro description text

no macro description text

シンタックスの説明

description text

指定したインターフェイスに適用されたマクロについての説明を入力します。

デフォルト

このコマンドにはデフォルト設定はありません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

インターフェイスにコメントテキストまたはマクロ名を関連付けるには、 description キーワードを使用します。単一インターフェイスに複数のマクロを適用する場合、説明テキストは最後に適用したマクロのものになります。

次の例では、インターフェイスに説明を追加する方法を示します。

Switch(config-if)# macro description duplex settings

設定を確認するには、 show parser macro description 特権 EXEC コマンドを入力します。

macro global

スイッチにマクロを適用するか、またはスイッチにマクロ設定を適用してこれを追跡するには、 macro global グローバルコンフィギュレーションコマンドを使用します。

macro global { apply | trace } macro-name [ parameter { value }] [ parameter { value }]
[ parameter { value }]

シンタックスの説明

apply	スイッチにマクロを適用します。
trace	スイッチにマクロを適用してマクロをデバッグします。
macro - name	マクロ名を指定します。
parameter value	（任意）スイッチに固有の一意のパラメータ値を指定します。最高 3 つのキーワードと値の組み合わせを入力できます。パラメータキーワードの照合では、大文字と小文字が区別されます。キーワードで一致が見られると、すべて対応する値に置き換えられます。

デフォルト

このコマンドにはデフォルト設定はありません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

macro trace macro-name グローバルコンフィギュレーションコマンドを使用して、スイッチ上で実行されているマクロを適用および表示、あるいは構文または設定エラーを判別するためにマクロをデバッグできます。

マクロを適用したとき、構文エラーまたは設定エラーのためにコマンドが失敗した場合、マクロは引き続き残りのコマンドをスイッチに適用します。

一意の値の割り当てを必要とするマクロを作成する場合、 parameter value キーワードを使用して、そのスイッチに固有の値を指定します。

一部のマクロには、パラメータ値が必要なキーワードが含まれます。 macro global apply macro-name ? コマンドを使用すると、マクロで必要な値を一覧表示できます。キーワード値を入力せずにマクロを適用した場合、コマンドは無効となり、マクロは適用されません。

スイッチにシスコデフォルト Smartports マクロを適用するときは、次の注意事項に従ってください。

マクロをスイッチに適用する場合、マクロ名が自動的にスイッチに追加されます。 show running-configuration ユーザ EXEC コマンドを使用すると、適用されたコマンドおよびマクロ名を表示できます。

マクロに含まれる各コマンドの no バージョンを入力したときにだけ、スイッチで適用されたグローバルマクロ設定を削除できます。

例

macro name グローバルコンフィギュレーションコマンドを使用してマクロを作成したあとは、そのマクロをスイッチに適用できます。次の例では、 snmp マクロを表示する方法、およびそのマクロを適用してホスト名をテストサーバに設定し、IP precedence 値を 7 に設定する方法を示します。

Switch# show parser macro name snmp

Macro name : snmp

Macro type : customizable

#enable port security, linkup, and linkdown traps

snmp-server enable traps port-security

snmp-server enable traps linkup

snmp-server enable traps linkdown

#set snmp-server host

snmp-server host ADDRESS

#set SNMP trap notifications precedence

snmp-server ip precedence VALUE

--------------------------------------------------

Switch(config)# macro global apply snmp ADDRESS test-server VALUE 7

マクロをデバッグするには、 macro global trace グローバルコンフィギュレーションコマンドを使用して、マクロがスイッチに適用されたときのマクロの構文または設定エラーを判別できます。次の例では、 ADDRESS パラメータ値が入力されなかったために snmp-server host コマンドが失敗した一方で、残りのマクロがスイッチに適用されていることを示します。

Switch(config)# macro global trace snmp VALUE 7

Applying command...‘snmp-server enable traps port-security’

Applying command...‘snmp-server enable traps linkup’

Applying command...‘snmp-server enable traps linkdown’

Applying command...‘snmp-server host’

%Error Unknown error.

Applying command...‘snmp-server ip precedence 7’

macro global description

スイッチに適用されるマクロの説明を入力するには、 macro global description グローバルコンフィギュレーションコマンドを使用します。説明を削除するには、このコマンドの no 形式を使用します。

macro global description text

no macro global description text

シンタックスの説明

description text

スイッチに適用されたマクロについての説明を入力します。

デフォルト

このコマンドにはデフォルト設定はありません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

スイッチにコメントテキストまたはマクロ名を関連付けるには、 description キーワードを使用します。複数のマクロがスイッチに適用されている場合、説明テキストは最後に適用されたマクロの説明になります。

次の例では、スイッチに説明を追加する方法を示します。

Switch(config)# macro global description udld aggressive mode enabled

設定を確認するには、 show parser macro description 特権 EXEC コマンドを入力します。

macro name

設定マクロを作成するには、 macro name グローバルコンフィギュレーションコマンドを使用します。マクロ定義を削除するには、このコマンドの no 形式を使用します。

macro name macro-name

no macro name macro-name

シンタックスの説明

macro-name

マクロの名前

デフォルト

このコマンドにはデフォルト設定はありません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

マクロには、最大 3000 文字を含めることができます。1 行に 1 つのマクロコマンドを入力します。マクロを終了するには @ 文字を使用します。マクロ内にコメントテキストを入力するには、行の先頭に # 文字を使用します。

ヘルプ文字列を使用してキーワードを指定し、マクロ内で必須キーワードを定義できます。 #macro keywords word を入力してマクロで使用できるキーワードを定義します。スペースで分離することにより最大で 3 つのヘルプストリングを入力できます。4 つのキーワードを入力した場合、最初の 3 つのみが表示されます。

マクロ名では、大文字と小文字が区別されます。たとえば、コマンド macro name Sample-Macro と macro name sample-macro は、2 つの別個のマクロとなります。

マクロを作成する際に、 exit や end コマンド、または interface interface-id コマンドを使用してコマンドモードを変更しないでください。これらのコマンドを使用すると、 exit 、 end 、または interface interface-id に続くコマンドが異なるコマンドモードで実行されることがあります。

このコマンドの no 形式によって、マクロ定義のみが削除されます。マクロがすでに適用されているインターフェイスの設定には、影響はありません。 default interface interface-id インターフェイスコンフィギュレーションコマンドを使用すれば、インターフェイスで適用されたマクロの設定を削除できます。また、元のマクロの対応するコマンドすべての no 形式を含む既存のマクロの anti-macro を作成できます。次に anti-macro をインターフェイスに適用します。

既存のマクロと同じ名前の新しいマクロを作成して、マクロを変更できます。新規作成されたマクロは既存のマクロを上書きしますが、元のマクロが適用されたインターフェイスの設定には影響を与えません。

例

次の例では、デュプレックスモードおよび速度を定義するマクロを作成する方法を示します。

Switch(config)# macro name duplex

Enter macro commands one per line. End with the character ‘@’.

duplex full

speed auto

次の例では、 # macro keyword でマクロを作成する方法を示します。

Switch(config)# macro name test

switchport access vlan $VLANID

switchport port-security maximum $MAX

#macro keywords $VLANID $MAX

次の例では、インターフェイスにマクロを適用する前に、必須キーワード値を表示する方法を示します。

Switch(config)# interface gigabitethernet 1/1

Switch(config-if)# macro apply test ?

WORD keyword to replace with a value e.g $VLANID,$MAX

<cr>

Switch(config-if)# macro apply test $VLANID ?

WORD Value of first keyword to replace

Switch(config-if)# macro apply test $VLANID 2

WORD keyword to replace with a value e.g $VLANID,$MAX

<cr>

Switch(config-if)# macro apply test $VLANID 2 $MAX ?

WORD Value of second keyword to replace

match（access-map configuration）

VLAN マップを設定して、パケットを 1 つまたは複数のアクセスリストと照合するには、 match アクセスマップコンフィギュレーションコマンドを使用します。一致パラメータを削除するには、このコマンドの no 形式を使用します。

match { ip address { name | number } [ name | number ] [ name | number ]...} | { mac address { name } [ name ] [ name ]...}

no match { ip address { name | number } [ name | number ] [ name | number ]...} | { mac address { name } [ name ] [ name ]...}

（注）このコマンドは、スイッチが IP サービスイメージを稼動している場合にだけ使用できます。

シンタックスの説明

ip address	パケットを IP アドレスアクセスリストとマッチングするようにアクセスマップを設定します。
mac address	パケットを MAC アドレスアクセスリストとマッチングするようにアクセスマップを設定します。
name	パケットをマッチングするアクセスリストの名前です。
number	パケットをマッチングするアクセスリストの番号です。このオプションは、MAC アクセスリストに対しては無効です。

デフォルト

デフォルトのアクションでは、一致パラメータは VLAN マップに適用されません。

コマンドモード

アクセスマップコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

vlan access-map グローバルコンフィギュレーションコマンドを使用して、アクセスマップコンフィギュレーションモードを開始します。

1 つのアクセスリストの名前または番号を入力する必要があります。その他は任意です。パケットは、1 つまたは複数のアクセスリストに対してマッチングできます。いずれかのリストに一致すると、エントリの一致としてカウントされます。

アクセスマップコンフィギュレーションモードでは、 match コマンドを使用して、VLAN に適用される VLAN マップの一致条件を定義できます。 action コマンドを使用すると、パケットが条件に一致したときに実行するアクションを設定できます。

パケットは、同じプロトコルタイプのアクセスリストに対してのみマッチングされます。IP パケットは、IP アクセスリストに対してマッチングされ、その他のパケットはすべて MAC アクセスリストに対してマッチングされます。

同じマップエントリに、IP アドレスと MAC アドレスの両方を指定できます。

例

次の例では、VLAN アクセスマップ vmap4 を定義し VLAN 5 と VLAN 6 に適用する方法を示します。このアクセスマップでは、パケットがアクセスリスト al2 に定義された条件に一致すると、インターフェイスはそのパケットをドロップします。

Switch(config)# vlan access-map vmap4

Switch(config-access-map)# match ip address al2

Switch(config-access-map)# action drop

Switch(config-access-map)# exit

Switch(config)# vlan filter vmap4 vlan-list 5-6

設定を確認するには、 show vlan access-map 特権 EXEC コマンドを入力します。

match (class-map configuration)

トラフィックを分類するための一致条件を定義するには、match クラスマップコンフィギュレーションコマンドを使用します。一致基準を削除するには、このコマンドの no 形式を使用します。

match { access-group acl-index-or-name | input-interface interface-id-list | ip dscp dscp-list | ip precedence ip-precedence-list }

no match { access-group acl-index-or-name | input-interface interface-id-list | ip dscp dscp-list | ip precedence ip-precedence-list }

シンタックスの説明

access-group acl-index-or-name	IP 標準または拡張アクセスコントロールリスト（ACL）または MAC ACL の番号または名前です。IP 標準 ACL の場合、ACL インデックス範囲は 1 ～ 99 および 1300 ～ 1999 です。IP 拡張 ACL の場合、ACL インデックス範囲は 100 ～ 199 および 2000 ～ 2699 です。
input-interface interface-id-list	階層ポリシーマップでインターフェイスレベルのクラスマップを適用する物理ポートを指定します。このコマンドは、子レベルのポリシーマップでのみ使用でき、子レベルのポリシーマップ内での唯一の一致条件である必要があります。ポート（1 エントリとしてカウント）、スペースで区切ったポート（各ポートを 1 エントリとしてカウント）、またはハイフンで区切ったポート範囲（2 エントリとしてカウント）を指定することによって、最大 6 つのエントリを指定できます。このキーワードは、スイッチで IP サービスイメージが稼動している場合にのみ使用できます。
ip dscp dscp-list	着信パケットとのマッチングを行うための、最大 8 つまでの IP Differentiated Service Code Point（DSCP）値のリストです。各値はスペースで区切ります。指定できる範囲は 0 ～ 63 です。また、一般的な値にニーモニック名を入力できます。
ip precedence ip-precedence-list	着信パケットとのマッチングを行うための、最大 8 つの IP precedence 値のリストです。各値はスペースで区切ります。指定できる範囲は 0 ～ 7 です。また、一般的な値にニーモニック名を入力できます。

デフォルト

一致基準は定義されません。

コマンドモード

クラスマップコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。
12.2(52)SE	input-interface interface-id-list キーワードが追加されました。

使用上のガイドライン

パケットを分類するために着信パケットのどのフィールドを調べるのかを指定する場合は、 match コマンドを使用します。IP アクセスグループまたは MAC アクセスグループの Ether Type/Len のマッチングのみがサポートされています。

match ip dscp dscp-list コマンドまたは match ip precedence ip-precedence-list コマンドの場合は、よく使用される値のニーモニック名を入力できます。たとえば、 match ip dscp af11 コマンドを入力できます。このコマンドは、 match ip dscp 10 コマンドを入力した場合と同じ結果になります。また、 match ip precedence critical コマンドを入力できます。このコマンドは、 match ip precedence 5 コマンドを入力した場合と同じ結果になります。サポートされているニーモニック名のリストについては、 match ip dscp ? または match ip precedence ? コマンドを入力して、コマンドラインヘルプストリングを参照してください。

階層ポリシーマップ内にインターフェイスレベルのクラスマップを設定するときには、 input-interface interface-id-list キーワードを使用します。 interface-id-list には、最大 6 つのエントリを指定できます。

例

次の例では、クラスマップ class2 を作成する方法を示します。このマップは、DSCP 値 10、11、および 12 を持つすべての着信トラフィックに一致します。

Switch(config)# class-map class2

Switch(config-cmap)# match ip dscp 10 11 12

Switch(config-cmap)# exit

次の例では、クラスマップ class3 を作成する方法を示します。このマップは、IP precedence 値 5、6、および 7 を持つすべての着信トラフィックに一致します。

Switch(config)# class-map class3

Switch(config-cmap)# match ip precedence 5 6 7

Switch(config-cmap)# exit

次の例では、IP precedence 一致基準を削除し、 acl1 を使用してトラフィックを分類する方法を示します。

Switch(config)# class-map class2

Switch(config-cmap)# match ip precedence 5 6 7

Switch(config-cmap)# no match ip precedence

Switch(config-cmap)# match access-group acl1

Switch(config-cmap)# exit

次の例では、階層ポリシーマップでインターフェイスレベルのクラスマップが適用する物理ポートのリストの指定方法を示しています。

Switch(config)# class-map match-all class4

Switch(config-cmap)# match input-interface gigabitethernet1/1 gigabitethernet1/2

Switch(config-cmap)# exit

次の例では、階層ポリシーマップでインターフェイスレベルのクラスマップが適用する物理ポートの範囲の指定方法を示しています。

Switch(config)# class-map match-all class4

Switch(config-cmap)# match input-interface gigabitethernet1/1 - gigabitethernet1/5

Switch(config-cmap)# exit

設定を確認するには、 show class-map 特権 EXEC コマンドを入力します。

mdix auto

インターフェイス上で Automatic Medium-Dependent Interface Crossover（Auto-MDIX）機能をイネーブルにするには、 mdix auto インターフェイスコンフィギュレーションコマンドを使用します。Auto MDIX がイネーブルな場合、インターフェイスは自動的に必要なケーブル接続タイプ（ストレートまたはクロス）を検出し、接続を適切に設定します。Auto MDIX をディセーブルにするには、このコマンドの no 形式を使用します。

mdix auto

no mdix auto

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

Auto MDIX は、イネーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

インターフェイスの Auto MDIX をイネーブルにする場合は、機能が正常に動作するように、インターフェイス速度とデュプレックスも auto に設定する必要があります。

Auto MDIX が（速度とデュプレックスの自動ネゴシエーションとともに）接続するインターフェイスの一方または両方でイネーブルの場合は、ケーブルタイプ（ストレートまたはクロス）が不正でもリンクがアップします。

Auto-MDIX は、すべての 10/100 および 10/100/1000 Mbps インターフェイス上および 10/100/1000BASE-T/TX Small Form-factor Pluggable（SFP）モジュールインターフェイス上でサポートされます。1000BASE-SX または 1000BASE-LX SFP モジュールインターフェイスではサポートされません。

例

次の例では、ポートの Auto MDIX をイネーブルにする方法を示します。

Switch# configure terminal

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# speed auto

Switch(config-if)# duplex auto

Switch(config-if)# mdix auto

Switch(config-if)# end

インターフェイスの Auto MDIX の動作ステートを確認するには、 show controllers ethernet-controller interface-id phy 特権 EXEC コマンドを入力します。

media-type

デュアルパーパスアップリンクポートのインターフェイスとタイプを手動で選択したり、最初にリンクが確立されたタイプをスイッチで動的に選択するように設定したりするには、 media-type インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

media-type { auto-select | rj45 | sfp }

no media-type

シンタックスの説明

auto-select	最初にリンクが確立されたタイプをスイッチで動的に選択します。
rj45	RJ-45 インターフェイスを選択します。
sfp	Small Form-Factor Pluggable（SFP）モジュールインターフェイスを選択します。

デフォルト

デフォルトは auto-select による動的選択です。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

デュアルパーパスアップリンクを冗長リンクとして使用することはできません。

デュアルパーパスアップリンクの速度とデュプレックスを設定するには、インターフェイスタイプを選択する必要があります。タイプを変更すると、速度とデュプレックスの設定は削除されます。スイッチはいずれのタイプも、速度とデュプレックスの両方の自動ネゴシエーションに基づいて設定します（デフォルト）。

auto-select を選択した場合、スイッチは最初にリンクが確立されたタイプを動的に選択します。リンクの確立が完了すると、スイッチはアクティブリンクが終了するまでの間、もう一方のタイプをディセーブルにします。アクティブリンクが終了すると、スイッチはいずれかのリンクが確立されるまでの間、両方のタイプをイネーブルにします。auto-select モードでは、スイッチはいずれのタイプも速度とデュプレックスの自動ネゴシエーションに基づいて設定します（デフォルト）。

rj45 を選択した場合、スイッチは SFP モジュールインターフェイスをディセーブルにします。このポートにケーブルを接続しても、RJ-45 側がダウンしている場合または接続されていない場合であっても、リンクを確立することはできません。このモードでは、デュアルパーパスポートは 10/100/1000BASE-TX インターフェイスと同様に動作します。このインターフェイスタイプに合った速度とデュプレックスが設定できます。

sfp を選択した場合、スイッチは RJ-45 インターフェイスをディセーブルにします。このポートにケーブルを接続しても、SFP モジュール側がダウンしている場合または SFP モジュールが存在しない場合であっても、リンクを確立することはできません。搭載された SFP モジュールタイプに応じて、このインターフェイスタイプに合った速度とデュプレックスが設定できます。

スイッチの電源投入時、または shutdown および no shutdown インターフェイスコンフィギュレーションコマンドでデュアルパーパスアップリンクポートをイネーブルにした場合は、SFP モジュールインターフェイスを優先します。その他の場合は、最初にリンクが確立されたタイプを動的に選択します。

auto-select を設定した場合、 speed および duplex インターフェイスコンフィギュレーションコマンドは設定できません。

このスイッチと 100BASE-X（-X は -BX、-FX、-FE、-LX のいずれか）SFP モジュールを組み合わせると、次のように動作します。

• 100BASE -X SFP がモジュールスロットに挿入され、RJ-45 側にリンクが存在しない場合には、スイッチは RJ-45 インターフェイスをディセーブルにし、SFP モジュールインターフェイスを選択します。SFP 側にケーブルが接続されておらず、リンクがない場合でも、このような動作になります。

• 100BASE-X SFP モジュールが挿入されており、RJ-45 側にリンクが存在する場合には、スイッチはそのリンクを使用します。リンクがダウンすると、スイッチは RJ-45 側をディセーブルにし、SFP モジュールインターフェイスを選択します。

• 100BASE-X SFP モジュールが取り外されると、スイッチはタイプの動的選択（ auto-select ）に戻り、RJ-45 側を再度イネーブルにします。

スイッチは 100BASE-FX-GE SFP モジュールに対しては、このような動作はしません。

例

次の例では、SFP インターフェイスを選択するよう設定する方法を示します。

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# media-type sfp

設定を確認するには、 show interfaces interface-id capabilities または show interfaces interface-id transceiver properties 特権 EXEC コマンドを入力します。

mls qos

スイッチ全体で QoS（Quality Of Service）をイネーブルにするには、mls qos グローバルコンフィギュレーションコマンドを使用します。mls qos コマンドを入力すると、システム内のすべてのポートでデフォルトパラメータが使用されて QoS がイネーブルになります。スイッチ全体のすべての QoS 関連の統計をリセットし、QoS 機能をディセーブルにするには、このコマンドの no 形式を使用します。

mls qos

no mls qos

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

QoS はディセーブルです。パケットが変更されない（パケット内の CoS、DSCP、および IP precedence 値は変更されない）ため、信頼できるポートまたは信頼できないポートといった概念は存在しません。トラフィックは Pass-Through モードでスイッチングされます（パケットは書き換えられることなくスイッチングされ、ポリシングなしのベストエフォートに分類されます）。

mls qos グローバルコンフィギュレーションコマンドによって QoS がイネーブル化され、その他のすべての QoS 設定値がデフォルト値に設定されている場合、トラフィックはポリシングされず、ベストエフォート（DSCP 値と CoS 値は 0 に設定される）として分類されます。ポリシーマップは設定されません。すべてのポート上のデフォルトポートの信頼性は、信頼性なし（untrusted）の状態です。デフォルトの入力キューおよび出力キューの設定値が有効となります。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

QoS 分類、ポリシング、マークダウンまたはドロップ、キューイング、トラフィックシェーピング機能を使用するには、QoS をグローバルにイネーブルにする必要があります。mls qos コマンドを入力する前に、ポリシーマップを作成しそれをポートに適用できます。ただし、mls qos コマンドを入力していない場合、QoS 処理はディセーブルになります。

no mls qos コマンドを入力しても、QoS を設定するために使用したポリシーマップとクラスマップは設定から削除されません。ただし、システムリソースを節約するため、ポリシーマップに対応するエントリはスイッチハードウェアから削除されます。以前の設定で QoS を再度イネーブルにする場合、mls qos コマンドを使用します。

このコマンドでスイッチの QoS 状態を切り替えることで、キューのサイズが修正（再割り当て）されます。キューサイズの変更時には、ハードウェアを再設定する期間中キューは一時的にシャットダウンされ、スイッチはこのキューに新たに到着したパケットをドロップします。

例

次の例では、スイッチ上で QoS をイネーブルにする方法を示します。

Switch(config)# mls qos

設定を確認するには、 show mls qos 特権 EXEC コマンドを入力します。

mls qos aggregate-policer

ポリサーパラメータを定義するには、mls qos aggregate-policer グローバルコンフィギュレーションコマンドを使用します。これは、同一のポリシーマップ内の複数のクラスで共有できます。ポリサーは、最大許容伝送速度、最大バースト伝送サイズ、およびいずれかの最大値を超過した場合の対処法を定義します。集約ポリサーを削除するには、このコマンドの no 形式を使用します。

mls qos aggregate-policer aggregate-policer-name rate-bps burst-byte exceed-action { drop | policed-dscp-transmit }

no mls qos aggregate-policer aggregate-policer-name

シンタックスの説明

aggregate-policer-name	police aggregate ポリシーマップクラスコンフィギュレーションコマンドが参照する集約ポリサーの名前です。
rate-bps	平均トラフィック伝送速度をビット/秒（b/s）で指定します。指定できる範囲は 8000 ～ 1000000000 です。
burst-byte	通常のバーストサイズ（バイト）を指定します。指定できる範囲は 8000 ～ 1000000 です。
exceed-action drop	指定された伝送速度を超えると、スイッチがパケットをドロップするよう指定します。
exceed-action policed-dscp-transmit	指定された伝送速度を超えると、スイッチがパケットの Differentiated Service Code Point（DSCP）を、ポリシング設定 DSCP マップに指定された値に変更して、パケットを送信するよう指定します。

デフォルト

集約ポリサーは定義されません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

ポリサーが複数のクラスによって共有されている場合は、集約ポリサーを定義します。

あるポートのポリサーを別のポートの他のポリサーと共有することはできません。2 つの異なるポートからのトラフィックは、ポリシング目的では集約できません。

2 つ以上の物理ポートを制御するポート ASIC デバイスは、256 個のポリサー（255 個のユーザ設定可能なポリサーと 1 個の内部使用向けに予約されたポリサー）をサポートします。ポートごとにサポートされるユーザ設定可能なポリサーの最大数は 63 です。ポリサーはソフトウェアによってオンデマンドで割り振られ、ハードウェアおよび ASIC の限界によって制約されます。ポートごとにポリサーを予約することはできません（ポートがいずれかのポリサーに割り当てられるとは保証されていません）。

集約ポリサーは同じポリシーマップ内の複数のクラスに適用されます。異なるポリシーマップにまたがって集約ポリサーを使用することはできません。

ポリシーマップ内で使用中の場合、集約ポリサーは削除できません。最初に、 no police aggregate aggregate-policer-name ポリシーマップクラスコンフィギュレーションコマンドを使用してすべてのポリシーマップから集約ポリサーを削除してから、 no mls qos aggregate-policer aggregate-policer-name コマンドを使用する必要があります。

ポリシングはトークンバケットアルゴリズムを使用します。バケットの深さ（バケットがオーバーフローするまでの許容最大バースト）を設定するには、 police ポリシーマップクラスコンフィギュレーションコマンドの burst-byte オプションまたは mls qos aggregate-policer グローバルコンフィギュレーションコマンドを使用します。トークンがバケットから削除される速度（平均速度）を設定するには、 police ポリシーマップクラスコンフィギュレーションコマンドの rate-bps オプションまたは mls qos aggregate-policer グローバルコンフィギュレーションコマンドを使用します。詳細については、このリリースに対応するソフトウェアコンフィギュレーションガイドを参照してください。

例

次の例では、集約ポリサーパラメータを定義する方法と、ポリシーマップ内の複数のクラスにそのポリサーを適用する方法を示します。

Switch(config)# mls qos aggregate-policer agg_policer1 1000000 1000000 exceed-action drop

Switch(config)# policy-map policy2

Switch(config-pmap)# class class1

Switch(config-pmap-c)# police aggregate agg_policer1

Switch(config-pmap-c)# exit

Switch(config-pmap)# class class2

Switch(config-pmap-c)# set dscp 10

Switch(config-pmap-c)# police aggregate agg_policer1

Switch(config-pmap-c)# exit

Switch(config-pmap)# class class3

Switch(config-pmap-c)# trust dscp

Switch(config-pmap-c)# police aggregate agg_policer2

Switch(config-pmap-c)# exit

設定を確認するには、 show mls qos aggregate-policer 特権 EXEC コマンドを入力します。

mls qos cos

ポートのデフォルトサービスクラス（CoS）値を定義したり、ポート上のすべての着信パケットにデフォルト CoS 値を割り当てたりするには、mls qos cos インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mls qos cos { default-cos | override }

no mls qos cos { default-cos | override }

シンタックスの説明

default-cos	デフォルト CoS 値をポートに割り当てます。パケットがタグ付けされていない場合、デフォルトの CoS 値がパケットの CoS 値になります。指定できる CoS 範囲は 0 ～ 7 です。
override	着信パケットの CoS を無効にし、すべての着信パケットにデフォルトのポート CoS 値を適用します。

デフォルト

ポート CoS 値は 0 です。

CoS 無効化はディセーブルに設定されています。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

デフォルト値を使用して、タグなし（着信パケットが CoS 値を持たない場合）で着信したすべてのパケットに CoS 値と Differentiated Service Code Point（DSCP）値を割り当てることができます。また、 override キーワードを使用すると、デフォルトの CoS 値と DSCP 値をすべての着信パケットに割り当てることができます。

特定のポートに届くすべての着信パケットに、他のポートからのパケットより高いプライオリティを与える場合には、 override キーワードを使用します。たとえポートがすでに DSCP、CoS、または IP precedence を信頼するように設定されていても、このコマンドは以前に設定済みの信頼状態を無効にし、すべての着信 CoS 値に mls qos cos コマンドで設定されたデフォルトの CoS 値が割り当てられます。着信パケットがタグ付きの場合、パケットの CoS 値は、出力ポートで、ポートのデフォルト CoS を使用して変更されます。

例

次の例では、ポートのデフォルトポート CoS 値を 4 に設定する方法を示します。

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# mls qos trust cos

Switch(config-if)# mls qos cos 4

次の例では、ポートで、ポートに着信するすべてのパケットにデフォルトのポート CoS 値 4 を割り当てる方法を示します。

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# mls qos cos 4

Switch(config-if)# mls qos cos override

設定を確認するには、 show mls qos interface 特権 EXEC コマンドを入力します。

mls qos dscp-mutation

Differentiated Services Code Point（DSCP）の信頼できるポートに DSCP/DSCP 変換マップを適用するには、mls qos dscp-mutation インターフェイスコンフィギュレーションコマンドを使用します。マップをデフォルト設定（DSCP 変換なし）に戻すには、このコマンドの no 形式を使用します。

mls qos dscp-mutation dscp-mutation-name

no mls qos dscp-mutation dscp-mutation-name

シンタックスの説明

dscp-mutation-name

DSCP/DSCP 変換マップの名前。このマップは、以前は mls qos map dscp-mutation グローバルコンフィギュレーションコマンドで定義されていました。

デフォルト

デフォルトの DSCP/DSCP 変換マップは、着信 DSCP 値を同じ DSCP 値にマッピングするヌルマップです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

2 つの QoS（Quality of Service）ドメインが異なる DSCP 定義を持つ場合は、DSCP/DSCP 変換マップを使用して、一方の DSCP 値のセットをもう一方のドメインの定義に適合するように変換します。DSCP/DSCP 変換マップは、QoS 管理ドメインの境界にある受信ポートに適用します（入力変換）。

入力変換では、新しい DSCP 値がパケット内の値を上書きし、QoS はこの新しい値を持つパケットを処理します。スイッチは、新しい DSCP 値とともにそのパケットをポートへ送出します。

入力ポートには複数の DSCP/DSCP 変換マップを設定できます。

マップは、DSCP の信頼性のあるポートにのみ適用します。DSCP 変換マップを信頼できないポート、サービスクラス（CoS）または IP precedence の信頼できるポートに適用すると、コマンドはすぐには影響せず、そのポートが DSCP の信頼できるポートになってから効果を発揮します。

例

次の例では、DSCP/DSCP 変換マップ dscpmutation1 を定義し、そのマップをポートに適用する方法を示します。

Switch(config)# mls qos map dscp-mutation dscpmutation1 10 11 12 13 to 30

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# mls qos trust dscp

Switch(config-if)# mls qos dscp-mutation dscpmutation1

次の例では、DSCP/DSCP 変換マップ dscpmutation1 をポートから削除し、そのマップをデフォルトにリセットする方法を示します。

Switch(config-if)# no mls qos dscp-mutation dscpmutation1

設定を確認するには、 show mls qos maps 特権 EXEC コマンドを入力します。

mls qos map

サービスクラス（CoS）/Differentiated Services Code Point（DSCP）マップ、DSCP/CoS マップ、DSCP/DSCP 変換マップ、IP precedence/DSCP マップ、およびポリシングされた DSCP マップを定義するには、mls qos map グローバルコンフィギュレーションコマンドを使用します。デフォルトのマップに戻すには、このコマンドの no 形式を使用します。

mls qos map { cos-dscp dscp1...dscp8 | dscp-cos dscp-list to cos | dscp-mutation dscp-mutation- name in-dscp to out-dscp | ip-prec-dscp dscp1...dscp8 | policed-dscp dscp-list to mark-down-dscp }

no mls qos map { cos-dscp | dscp-cos | dscp-mutation dscp-mutation-name | ip-prec-dscp | policed-dscp }

シンタックスの説明

cos-dscp dscp1...dscp8	CoS/DSCP マップを定義します。 dscp1...dscp8 には、CoS 値 0 ～ 7 に対応する 8 つの DSCP 値を入力します。各 DSCP 値はスペースで区切ります。指定できる範囲は 0 ～ 63 です。
dscp-cos dscp-list to cos	DSCP/CoS マップを定義します。 dscp-list には、各値をスペースで区切って最大 8 つの DSCP 値を入力します。指定できる範囲は 0 ～ 63 です。さらに、 to キーワードを入力します。 cos には、DSCP 値と対応する 1 つの CoS 値を入力します。指定できる範囲は 0 ～ 7 です。
dscp-mutation dscp-mutation- name in-dscp to out-dscp	DSCP/DSCP 変換マップを定義します。 dscp-mutation- name には、変換マップ名を入力します。 in-dscp には、各値をスペースで区切って最大 8 つの DSCP 値を入力します。さらに、 to キーワードを入力します。 out-dscp には、1 つの DSCP 値を入力します。指定できる範囲は 0 ～ 63 です。
ip-prec-dscp dscp1...dscp8	IP precedence/DSCP マップを定義します。 dscp1...dscp8 には、IP precedence 値 0 ～ 7 に対応する 8 つの DSCP 値を入力します。各 DSCP 値はスペースで区切ります。指定できる範囲は 0 ～ 63 です。
policed-dscp dscp-list to mark-down-dscp	ポリシング設定 DSCP マップを定義します。 dscp-list には、各値をスペースで区切って最大 8 つの DSCP 値を入力します。さらに、 to キーワードを入力します。 mark-down-dscp には、対応するポリシング設定（マークダウンされた）DSCP 値を入力します。指定できる範囲は 0 ～ 63 です。

デフォルト

表 2-7 に、デフォルトの CoS/DSCP マップを示します。

表 2-7 デフォルトの CoS/DSCP マップ
CoS 値	DSCP 値
0	0
1	8
2	16
3	24
4	32
5	40
6	48
7	56

表 2-8 に、デフォルトの DSCP/CoS マップを示します。

表 2-8 デフォルトの DSCP/CoS マップ
DSCP 値	CoS 値
0 ～ 7	0
8 ～ 15	1
16 ～ 23	2
24 ～ 31	3
32 ～ 39	4
40 ～ 47	5
48 ～ 55	6
56 ～ 63	7

表 2-9 に、デフォルトの IP precedence/DSCP マップを示します。

表 2-9 デフォルトの IP Precedence/DSCP マップ
IP precedence 値	DSCP 値
0	0
1	8
2	16
3	24
4	32
5	40
6	48
7	56

デフォルトの DSCP/DSCP 変換マップは、着信 DSCP 値を同じ DSCP 値にマッピングするヌルマップです。

デフォルトのポリシング設定 DSCP マップは、着信 DSCP 値を同じ DSCP 値にマッピングするヌルマップです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

マップはすべてグローバルに定義されています。DSCP/DSCP 変換マップを除くすべてのマップは、すべてのポートに適用されます。DSCP/DSCP 変換マップは、特定のポートに適用されます。

例

次の例では、IP precedence/DSCP マップを定義し、IP precedence 値 0 ～ 7 を DSCP 値 0、10、20、30、40、50、55、および 60 にマッピングする方法を示します。

Switch# configure terminal

Switch(config)# mls qos map ip-prec-dscp 0 10 20 30 40 50 55 60

次の例では、ポリシング設定 DSCP マップを定義する方法を示します。DSCP 値 1、2、3、4、5、および 6 は DSCP 値 0 にマークダウンされます。明示的に設定されていないマークされた DSCP 値は変更されません。

Switch# configure terminal

Switch(config)# mls qos map policed-dscp 1 2 3 4 5 6 to 0

次の例では、DSCP/CoS マップを定義する方法を示します。DSCP 値 20、21、22、23、および 24 は、CoS 1 にマッピングされます。DSCP 値 10、11、12、13、14、15、16、および 17 は CoS 0 にマッピングされます。

Switch# configure terminal

Switch(config)# mls qos map dscp-cos 20 21 22 23 24 to 1

Switch(config)# mls qos map dscp-cos 10 11 12 13 14 15 16 17 to 0

次の例では、CoS/DSCP マップを定義する方法を示します。CoS 値 0 ～ 7 は、DSCP 値 0、5、10、15、20、25、30、および 35 にマッピングされます。

Switch# configure terminal

Switch(config)# mls qos map cos-dscp 0 5 10 15 20 25 30 35

次の例では、DSCP/DSCP 変換マップを定義する方法を示します。明示的に設定されていないエントリはすべて変更されません（ヌルマップ内の指定のままです）。

Switch# configure terminal

Switch(config)# mls qos map dscp-mutation mutation1 1 2 3 4 5 6 7 to 10

Switch(config)# mls qos map dscp-mutation mutation1 8 9 10 11 12 13 to 10

Switch(config)# mls qos map dscp-mutation mutation1 20 21 22 to 20

Switch(config)# mls qos map dscp-mutation mutation1 0 31 32 33 34 to 30

設定を確認するには、 show mls qos maps 特権 EXEC コマンドを入力します。

mls qos queue-set output buffers

キューセット（各ポートの 4 つの出力キュー）にバッファを割り当てるには、 mls qos queue-set output buffers グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mls qos queue-set output qset-id buffers allocation1 ... allocation4

no mls qos queue-set output qset-id buffers

シンタックスの説明

qset-id	キューセットの ID です。各ポートはキューセットに属し、ポート単位で出力キュー 4 つの特性すべてを定義します。指定できる範囲は 1 ～ 2 です。
allocation1 ... allocation4	各キュー（キュー 1 ～ 4 の 4 つのキュー）のバッファスペース割り当て（%）です。 allocation1 、 allocation3 、および allocation4 の場合、指定できる範囲は 0 ～ 99 です。 allocation2 の場合、指定できる範囲は 1 ～ 100 です（CPU バッファを含む）。各値はスペースで区切ります。

デフォルト

すべての割り当て値は、4 つのキューに均等にマッピングされます（25、25、25、25）。各キューがバッファスペースの 1/4 を持ちます。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

4 つの割り当て値を指定します。各値はスペースで区切ります。

トラフィックの重要度に応じてバッファを割り当てます。たとえば、最高プライオリティのトラフィックを持つキューには多くの割合のバッファを与えます。

異なる特性を持つ異なるクラスのトラフィックを設定するには、 mls qos queue-set output qset-id threshold グローバルコンフィギュレーションコマンドとともに、このコマンドを使用します。

（注）出力キューのデフォルト設定は、ほとんどの状況に適しています。出力キューについて十分理解したうえで、この設定がユーザの QoS ソリューションを満たさないと判断した場合のみ、設定を変更してください。

例

次の例では、ポートをキューセット 2 にマッピングする方法を示します。出力キュー 1 にバッファスペースの 40 % を、出力キュー 2、3、および 4 にはそれぞれ 20 % ずつ割り当てます。

Switch(config)# mls qos queue-set output 2 buffers 40 20 20 20

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# queue-set 2

設定を確認するには、 show mls qos interface [ interface-id ] buffers または show mls qos queue-set 特権 EXEC コマンドを入力します。

mls qos queue-set output threshold

Weighted Tail-drop（WTD）しきい値を設定することで、バッファの可用性を保証し、キューセット（各ポートの 4 つの出力キュー）に対して最大のメモリ割り当てを設定するには、 mls qos queue-set output threshold グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mls qos queue-set output qset-id threshold queue-id drop-threshold1 drop-threshold2 reserved-threshold maximum-threshold

no mls qos queue-set output qset-id threshold [ queue-id ]

シンタックスの説明

qset-id	キューセットの ID です。各ポートはキューセットに属し、ポート単位で出力キュー 4 つの特性すべてを定義します。指定できる範囲は 1 ～ 2 です。
queue-id	コマンドが実行されるキューセット内の特定のキューです。指定できる範囲は 1 ～ 4 です。
drop-threshold1 drop-threshold2	キューに割り当てられたメモリの割合（%）で表される 2 つの WTD しきい値です。指定できる範囲は 1 ～ 3200% です。
reserved-threshold	キューに対して保証（予約）されるメモリ量です。割り当てられたメモリの割合（%）で表されます。指定できる範囲は 1 ～ 100% です。
maximum-threshold	フル状態のキューが、予約量を超えるバッファを取得できるようにします。これは、キューがパケットをドロップせずに保持できる最大メモリです。指定できる範囲は 1 ～ 3200% です。

デフォルト

QoS（Quality of Service）がイネーブルなときは、WTD もイネーブルです。

表 2-10 は、デフォルトの WTD しきい値の設定値を示しています。

表 2-10 デフォルトの出力キュー WTD しきい値設定値
機能	キュー 1	キュー 2	キュー 3	キュー 4
WTD ドロップしきい値 1	100%	200%	100%	100%
WTD ドロップしきい値 2	100%	200%	100%	100%
予約済みしきい値	50%	100%	50%	50%
最大しきい値	400%	400%	400%	400%

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

mls qos queue-set output qset-id buffers グローバルコンフィギュレーションコマンドは、キューセット内の 4 つのキューに固定量のバッファを割り当てます。

ドロップしきい値（%）は 100% を超過することができ、最大値まで指定することができます（最大しきい値が 100% を超える場合）。

バッファ範囲により、キューセット内の個々のキューが共通のプールをさらに使用できる場合でも、各キューの最大パケット数は内部で 400%、つまりバッファに割り当てられた数の 4 倍に制限されます。1 つのパケットは 1 つまたは複数のバッファを使用できます。

Cisco IOS Release 12.2(25)SEE1 以降で、drop-threshold、drop-threshold2、maximum-threshold パラメータの範囲が増加しました。

スイッチは、バッファ割り当て方式を使用して、出力キューごとに最小バッファ量を予約し、いずれかのキューまたはポートがすべてのバッファを消費しその他のキューがバッファを使用できなくなるのを防ぎ、バッファスペースを要求元のキューに許可するかどうかを決定します。スイッチは、ターゲットキューが予約量を超えるバッファを消費していないかどうか（アンダーリミット）、その最大バッファをすべて消費したかどうか（オーバーリミット）、共通のプールが空（空きバッファがない）か空でない（空きバッファ）かを判断します。キューがオーバーリミットでない場合は、スイッチは予約済みプールまたは共通のプール（空でない場合）からバッファスペースを割り当てることができます。共通のプールに空きバッファがない場合や、キューがオーバーリミットの場合、スイッチはフレームをドロップします。

例

次の例では、ポートをキューセット 2 にマッピングする方法を示します。キュー 2 のドロップしきい値を割り当てられたメモリの 40% と 60% に設定し、割り当てられたメモリの 100% を保証（予約）して、このキューがパケットをドロップせずに保持可能な最大メモリを 200% に設定します。

Switch(config)# mls qos queue-set output 2 threshold 2 40 60 100 200

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# queue-set 2

設定を確認するには、 show mls qos interface [ interface-id ] buffers または show mls qos queue-set 特権 EXEC コマンドを入力します。

mls qos rewrite ip dscp

着信 IP パケットの Differentiated Services Code Point（DSCP）フィールドを変更する（書き換える）ようにスイッチを設定するには、 mls qos rewrite ip dscp グローバルコンフィギュレーションコマンドを使用します。スイッチがパケットの DSCP フィールドを変更（書き換え）しないように設定し、DSCP 透過をイネーブルにするには、このコマンドの no 形式を使用します。

mls qos rewrite ip dscp

no mls qos rewrite ip dscp

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

DSCP 透過はディセーブルになっています。スイッチは着信 IP パケットの DSCP フィールドを変更します。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

DSCP 透過は、出力でのパケットの DSCP フィールドにのみ影響を与えます。 no mls qos rewrite ip dscp コマンドを使用して DSCP 透過がイネーブルになっている場合、スイッチは着信パケットの DSCP フィールドは変更せず、送信パケットの DSCP フィールドも着信パケットのものと同じになります。

（注） DSCP 透過性をイネーブルにしても、IEEE 802.1Q トンネリングポート上のポート信頼性の設定には影響しません。

デフォルトでは、DSCP 透過性はディセーブルです。スイッチでは着信パケットの DSCP フィールドが変更され、発信パケットの DSCP フィールドは、ポートの信頼設定、ポリシングとマーキング、DSCP/DSCP 変換マップを含めて QoS（Quality of Service）に基づきます。

DSCP 透過の設定に関係なく、スイッチは、トラフィックのプライオリティを表すサービスクラス（CoS）値の生成に使用するパケットの内部 DSCP 値を変更します。また、スイッチは内部 DSCP 値を使用して、出力キューおよびしきい値を選択します。

たとえば、QoS がイネーブルになっていて、着信パケットの DSCP 値が 32 である場合、スイッチは、ポリシーマップ設定に基づいて内部 DSCP 値を 16 に変更します。DSCP 透過がイネーブルになっている場合、送信 DSCP 値は 32（着信の値と同じ）です。DSCP 透過がディセーブルになっている場合、内部 DSCP 値に基づいて、送信 DSCP 値は 16 になります。

例

次の例では、DSCP 透過性をイネーブルにして、スイッチで着信 IP パケットの DSCP 値を変更しないように設定する方法を示しています。

Switch(config)# mls qos

Switch(config)# no mls qos rewrite ip dscp

次の例では、DSCP 透過性をディセーブルにして、スイッチで着信 IP パケットの DSCP 値を変更するように設定する方法を示しています。

Switch(config)# mls qos

Switch(config)# mls qos rewrite ip dscp

設定を確認するには、 show running config | include rewrite 特権 EXEC コマンドを入力します。

mls qos srr-queue input bandwidth

入力キューに Shaped Round Robin（SRR; シェイプドラウンドロビン）ウェイトを割り当てるには、 mls qos srr-queue input bandwidth グローバルコンフィギュレーションコマンドを使用します。重みの比率は、SRR スケジューラがパケットを各キューから送り出す頻度の比率です。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mls qos srr-queue input bandwidth weight1 weight2

no mls qos srr-queue input bandwidth

シンタックスの説明

weight1 weight2

weight1 および weight2 の比率により、SRR スケジューラがパケットを入力キュー 1 およびキュー 2 から送り出す頻度の比率が決まります。指定できる範囲は 1 ～ 100 です。各値はスペースで区切ります。

デフォルト

weight1 と weight2 は 4 です（帯域幅の 1/2 ずつ 2 つのキューに均等に分配されます）。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

SRR は、 mls qos srr-queue input priority-queue queue-id bandwidth weight グローバルコンフィギュレーションコマンドの bandwidth キーワードで指定されたとおり、設定済みの重みに従いプライオリティキューにサービスを提供します。SRR は、両方の入力キューで残りの帯域幅を共有し、 mls qos srr-queue input bandwidth weight1 weight2 グローバルコンフィギュレーションコマンドで設定されたウェイトで指定しているサービスを行います。

どの入力キューがプライオリティキューであるかを指定するには、 mls qos srr-queue input priority-queue グローバルコンフィギュレーションコマンドを使用します。

例

次の例では、キューの入力帯域幅を割り当てる方法を示します。プライオリティキューイングはディセーブルです。割り当てられる共有帯域幅の比率は、キュー 1 が 25/（25+75）、キュー 2 が 75/（25+75）です。

Switch(config)# mls qos srr-queue input priority-queue 2 bandwidth 0

Switch(config)# mls qos srr-queue input bandwidth 25 75

次の例では、キュー 2 はキュー 1 の 3 倍の帯域幅を持っています。キュー 2 には、キュー 1 の 3 倍の頻度でサービスが提供されます。

次の例では、キューの入力帯域幅を割り当てる方法を示します。キュー 1 は割り当てられた帯域幅の 10% を持つプライオリティキューです。キュー 1 とキュー 2 に割り当てられた帯域幅の比率は、4/（4+4）です。SRR は最初、設定された 10% の帯域幅をキュー 1（プライオリティキュー）にサービスします。そのあと、SRR は残りの 90% の帯域幅をキュー 1 とキュー 2 にそれぞれ 45% ずつ均等に分配します。

Switch(config)# mls qos srr-queue input priority-queue 1 bandwidth 10

Switch(config)# mls qos srr-queue input bandwidth 4 4

設定を確認するには、 show mls qos interface [ interface-id ] queueing または show mls qos input-queue 特権 EXEC コマンドを入力します。

mls qos srr-queue input buffers

入力キュー間にバッファを割り当てるには、 mls qos srr-queue input buffers グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mls qos srr-queue input buffers percentage1 percentage2

no mls qos srr-queue input buffers

シンタックスの説明

percentage1 percentage2

入力キュー 1 およびキュー 2 に割り当てられるバッファの割合（%）です。指定できる範囲は 0 ～ 100 です。各値はスペースで区切ります。

デフォルト

バッファの 90% がキュー 1 に、バッファの 10% がキュー 2 に割り当てられます。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

キューがバースト性のある着信トラフィックを処理できるようにバッファを割り当てる必要があります。

例

次の例では、入力キュー 1 にバッファスペースの 60% を、入力キュー 2 にバッファスペースの 40% を割り当てる方法を示します。

Switch(config)# mls qos srr-queue input buffers 60 40

設定を確認するには、 show mls qos interface [ interface-id ] buffers または show mls qos input-queue 特権 EXEC コマンドを入力します。

mls qos srr-queue input cos-map

サービスクラス（CoS）値を入力キューにマッピング、または CoS 値をキューおよびしきい値 ID にマッピングするには、 mls qos srr-queue input cos-map グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mls qos srr-queue input cos-map queue queue-id { cos1...cos8 | threshold threshold-id cos1...cos8 }

no mls qos srr-queue input cos-map

シンタックスの説明

queue queue-id

キュー番号を指定します。

queue-id で指定できる範囲は 1 ～ 2 です。

cos1...cos8

CoS 値を入力キューへマッピングします。

cos1...cos8 には、最大 8 個の値をスペースで区切って入力します。指定できる範囲は 0 ～ 7 です。

threshold threshold-id cos1...cos8

CoS 値をキューのしきい値 ID にマッピングします。

threshold-id で指定できる範囲は 1 ～ 3 です。

cos1...cos8 には、最大 8 個の値をスペースで区切って入力します。指定できる範囲は 0 ～ 7 です。

デフォルト

表 2-11 では、デフォルトの CoS 入力キューのしきい値のマッピングを示します。

表 2-11 デフォルトの CoS 入力キューのしきい値
CoS 値	キュー ID - しきい値 ID
0 ～ 4	1-1
5	2-1
6, 7	1-1

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

入力ポートに割り当てられた CoS によって、入力または出力のキューおよびしきい値が選択されます。

しきい値 3 のドロップしきい値（%）は事前に定義されています。パーセンテージはキューがいっぱいの状態に対して設定されます。 mls qos srr-queue input threshold グローバルコンフィギュレーションコマンドを使用すると、入力キューに 2 つの Weighted Tail-Drop（WTD）しきい値（%）を割り当てることができます。

各 CoS 値を、異なるキューおよびしきい値の組み合わせに対してマッピングできます。これによりフレームを異なる動作に従わせることができます。

例

次の例では、CoS 値 0 ～ 3 を、入力キュー 1 とドロップしきい値 50% のしきい値 ID 1 にマッピングする方法を示します。CoS 値 4 と 5 は、入力キュー 1 とドロップしきい値 70% のしきい値 ID 2 に割り当てます。

Switch(config)# mls qos srr-queue input cos-map queue 1 threshold 1 0 1 2 3

Switch(config)# mls qos srr-queue input cos-map queue 1 threshold 2 4 5

Switch(config)# mls qos srr-queue input threshold 1 50 70

設定を確認するには、 show mls qos maps 特権 EXEC コマンドを入力します。

mls qos srr-queue input dscp-map

Differentiated Services Code Point（DSCP）値を入力キューにマッピングするか、または DSCP 値をキューとしきい値 ID にマッピングするには、 mls qos srr-queue input dscp-map グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mls qos srr-queue input dscp-map queue queue-id { dscp1...dscp8 | threshold threshold-id dscp1...dscp8 }

no mls qos srr-queue input dscp-map

シンタックスの説明

queue queue-id

キュー番号を指定します。

queue-id で指定できる範囲は 1 ～ 2 です。

dscp1...dscp8

DSCP 値を入力キューにマッピングします。

dscp1...dscp8 には、各値をスペースで区切って、最大 8 の値を入力します。指定できる範囲は 0 ～ 63 です。

threshold threshold-id dscp1...dscp8

DSCP 値をキューしきい値 ID にマッピングします。

threshold-id で指定できる範囲は 1 ～ 3 です。

dscp1...dscp8 には、各値をスペースで区切って、最大 8 の値を入力します。指定できる範囲は 0 ～ 63 です。

デフォルト

表 2-12 は、デフォルトの DSCP 入力キューしきい値マップを示しています。

表 2-12 デフォルトの DSCP 入力キューしきい値マップ
DSCP 値	キュー ID - しきい値 ID
0 ～ 39	1-1
40 ～ 47	2-1
48 ～ 63	1-1

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

入力ポートに割り当てられた DSCP によって、入力または出力のキューおよびしきい値が選択されます。

各 DSCP 値を異なるキューおよびしきい値の組み合わせにマッピングして、フレームが別の方法で処理されるようにすることができます。

コマンドあたり最大 8 個の DSCP 値をマッピングできます。

例

次の例では、DSCP 値 0 ～ 6 を、入力キュー 1 とドロップしきい値 50% のしきい値 1 にマッピングする方法を示します。DSCP 値 20 と 26 は、入力キュー 1 とドロップしきい値 70% のしきい値 2 にマッピングします。

Switch(config)# mls qos srr-queue input dscp-map queue 1 threshold 1 0 1 2 3 4 5 6

Switch(config)# mls qos srr-queue input dscp-map queue 1 threshold 2 20 21 22 23 24 25 26

Switch(config)# mls qos srr-queue input threshold 1 50 70

設定を確認するには、 show mls qos maps 特権 EXEC コマンドを入力します。

mls qos srr-queue input priority-queue

リングが輻輳している場合、入力プライオリティキューを設定して、内部リング上で帯域幅を保証するには、 mls qos srr-queue input priority-queue グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mls qos srr-queue input priority-queue queue-id bandwidth weight

no mls qos srr-queue input priority-queue queue-id

シンタックスの説明

queue-id	入力キューの ID です。指定できる範囲は 1 ～ 2 です。
bandwidth weight	内部リングの帯域幅のパーセンテージ。指定できる範囲は 0 ～ 40 です。

デフォルト

プライオリティキューはキュー 2 で、帯域幅の 10% が割り当てられています。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

プライオリティキューは、優先して進める必要があるトラフィックにのみ使用してください（遅延とジッタを最小限にとどめる必要のある音声トラフィックなど）。

プライオリティキューは内部リング上で帯域幅の一部が保証されており、オーバーサブスクライブ型のリング上でネットワークトラフィックが多い場合（バックプレーンが送達できる量よりもトラフィックが多い場合、およびキューが満杯でフレームをドロップしている場合）に、遅延とジッタを軽減します。

シェイプドラウンドロビン（SRR）は、 mls qos srr-queue input priority-queue queue-id bandwidth weight グローバルコンフィギュレーションコマンドの bandwidth キーワードで指定されたとおりに、設定済みの重みに従いプライオリティキューにサービスを提供します。SRR は、両方の入力キューで残りの帯域幅を共有し、 mls qos srr-queue input bandwidth weight1 weight2 グローバルコンフィギュレーションコマンドで設定されたウェイトで指定しているサービスを行います。

プライオリティキューイングをディセーブルにするには、帯域幅の重みを 0 に設定します。たとえば、 mls qos srr-queue input priority-queue queue-id bandwidth 0 と入力します。

例

Switch(config)# mls qos srr-queue input priority-queue 1 bandwidth 10

Switch(config)# mls qos srr-queue input bandwidth 4 4

設定を確認するには、 show mls qos interface [ interface-id ] queueing または show mls qos input-queue 特権 EXEC コマンドを入力します。

mls qos srr-queue input threshold

入力キューに Weighted Tail-Drop（WTD）しきい値（%）を割り当てるには、 mls qos srr-queue input threshold グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mls qos srr-queue input threshold queue-id threshold-percentage1 threshold-percentage2

no mls qos srr-queue input threshold queue-id

シンタックスの説明

queue-id	入力キューの ID です。指定できる範囲は 1 ～ 2 です。
threshold-percentage1 threshold-percentage2	2 つの WTD しきい値（%）です。各しきい値は、キューに割り当てられたキュー記述子の総数に対する割合です。各値はスペースで区切ります。指定できる範囲は 1 ～ 100 です。

デフォルト

QoS（Quality of Service）がイネーブルなときは、WTD もイネーブルです。

2 つの WTD しきい値は、100% に設定されます。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

QoS は、サービスクラス（CoS）/しきい値マップまたは Differentiated Services Code Point（DSCP）/しきい値マップを使用して、どの CoS 値または DSCP 値をしきい値 1 としきい値 2 にマッピングするかを判別します。しきい値 1 を超えた場合は、しきい値を超えなくなるまで、このしきい値に割り当てられた CoS または DSCP を持つパケットがドロップされます。ただし、しきい値 2 に割り当てられたパケットは、2 番目のしきい値を超えることがない限り、引き続きキューに入れられ送信されます。

各キューには、2 つの設定可能な（明示）ドロップしきい値と 1 つの事前設定された（暗黙）ドロップしきい値（フル）があります。

CoS/しきい値マップを設定するには、 mls qos srr-queue input cos-map グローバルコンフィギュレーションコマンドを使用します。DSCP/しきい値マップを設定するには、 mls qos srr-queue input dscp-map グローバルコンフィギュレーションコマンドを使用します。

例

次の例では、2 つのキューにテールドロップしきい値を設定する方法を示します。キュー 1 のしきい値は 50% と 100%、キュー 2 のしきい値は 70% と 100% です。

Switch(config)# mls qos srr-queue input threshold 1 50 100

Switch(config)# mls qos srr-queue input threshold 2 70 100

設定を確認するには、 show mls qos interface [ interface-id ] buffers または show mls qos input-queue 特権 EXEC コマンドを入力します。

mls qos srr-queue output cos-map

サービスクラス（CoS）値を出力キューにマッピング、または CoS 値をキューおよびしきい値 ID にマッピングするには、 mls qos srr-queue output cos-map グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mls qos srr-queue output cos-map queue queue-id { cos1...cos8 | threshold threshold-id cos1...cos8 }

no mls qos srr-queue output cos-map

シンタックスの説明

queue queue-id

キュー番号を指定します。

queue-id で指定できる範囲は 1 ～ 4 です。

cos1...cos8

CoS 値を出力キューへマッピングします。

cos1...cos8 には、最大 8 個の値をスペースで区切って入力します。指定できる範囲は 0 ～ 7 です。

threshold threshold-id cos1...cos8

CoS 値をキューのしきい値 ID にマッピングします。

threshold-id で指定できる範囲は 1 ～ 3 です。

cos1...cos8 には、最大 8 個の値をスペースで区切って入力します。指定できる範囲は 0 ～ 7 です。

デフォルト

表 2-13 では、デフォルトの CoS 出力キューのしきい値のマッピングを示します。

表 2-13 デフォルトの CoS 出力キューしきい値マップ
CoS 値	キュー ID - しきい値 ID
0, 1	2-1
2, 3	3-1
4	4-1
5	1-1
6, 7	4-1

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

しきい値 3 のドロップしきい値（%）は事前に定義されています。パーセンテージはキューがいっぱいの状態に対して設定されます。

（注）出力キューのデフォルト設定は、ほとんどの状況に適しています。出力キューについて十分理解したうえで、これらの設定がユーザの QoS（Quality of Service）ソリューションを満たさないと判断した場合のみ、設定を変更できます。

mls qos queue-set output qset-id threshold グローバルコンフィギュレーションコマンドを使用すると、出力キューに 2 つの Weighted Tail-Drop（WTD）しきい値（%）を割り当てることができます。

各 CoS 値を、異なるキューおよびしきい値の組み合わせに対してマッピングできます。これによりフレームを異なる動作に従わせることができます。

例

次の例では、ポートをキューセット 1 にマッピングする方法を示します。CoS 値 0 ～ 3 を出力キュー 1 としきい値 ID 1 にマッピングします。キュー 1 のドロップしきい値を割り当てられたメモリの 50% と 70% に設定し、割り当てられたメモリの 100% を保証（予約）して、このキューがパケットをドロップせずに保持可能な最大メモリを 200% に設定します。

Switch(config)# mls qos srr-queue output cos-map queue 1 threshold 1 0 1 2 3

Switch(config)# mls qos queue-set output 1 threshold 1 50 70 100 200

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# queue-set 1

設定を確認するには、 show mls qos maps 、 show mls qos interface [ interface-id ] buffers 、または show mls qos queue-set 特権 EXEC コマンドを入力します。

mls qos srr-queue output dscp-map

Differentiated Services Code Point（DSCP）値を出力キューにマッピングするか、または DSCP 値をキューとしきい値 ID にマッピングするには、 mls qos srr-queue output dscp-map グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mls qos srr-queue output dscp-map queue queue-id { dscp1...dscp8 | threshold threshold-id dscp1...dscp8 }

no mls qos srr-queue output dscp-map

シンタックスの説明

queue queue-id

キュー番号を指定します。

queue-id で指定できる範囲は 1 ～ 4 です。

dscp1...dscp8

DSCP 値を出力キューにマッピングします。

dscp1...dscp8 には、各値をスペースで区切って、最大 8 の値を入力します。指定できる範囲は 0 ～ 63 です。

threshold threshold-id dscp1...dscp8

DSCP 値をキューしきい値 ID にマッピングします。

threshold-id で指定できる範囲は 1 ～ 3 です。

dscp1...dscp8 には、各値をスペースで区切って、最大 8 の値を入力します。指定できる範囲は 0 ～ 63 です。

デフォルト

表 2-14 は、デフォルトの DSCP 出力キューしきい値マップを示しています。

表 2-14 デフォルトの DSCP 出力キューしきい値マップ
DSCP 値	キュー ID - しきい値 ID
0 ～ 15	2-1
16 ～ 31	3-1
32 ～ 39	4-1
40 ～ 47	1-1
48 ～ 63	4-1

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

しきい値 3 のドロップしきい値（%）は事前に定義されています。パーセンテージはキューがいっぱいの状態に対して設定されます。

各 DSCP 値を異なるキューおよびしきい値の組み合わせにマッピングして、フレームが別の方法で処理されるようにすることができます。

コマンドあたり最大 8 個の DSCP 値をマッピングできます。

例

次の例では、ポートをキューセット 1 にマッピングする方法を示します。DSCP 値 0 ～ 3 を出力キュー 1 としきい値 ID 1 にマッピングします。キュー 1 のドロップしきい値を割り当てられたメモリの 50% と 70% に設定し、割り当てられたメモリの 100% を保証（予約）して、このキューがパケットをドロップせずに保持可能な最大メモリを 200% に設定します。

Switch(config)# mls qos srr-queue output dscp-map queue 1 threshold 1 0 1 2 3

Switch(config)# mls qos queue-set output 1 threshold 1 50 70 100 200

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# queue-set 1

mls qos trust

ポートの信頼状態を設定するには、mls qos trust インターフェイスコンフィギュレーションコマンドを使用します。入力トラフィックを信頼できるようになり、パケットの Differentiated Service Code Point（DSCP）、サービスクラス（CoS）、または IP precedence のフィールドを調べることにより分類が実行されます。ポートを信頼できない状態に戻すには、このコマンドの no 形式を使用します。

mls qos trust [ cos | device cisco-phone | dscp | ip-precedence ]

no mls qos trust [ cos | device | dscp | ip-precedence ]

シンタックスの説明

cos	（任意）パケットの CoS 値を使用して、入力パケットを分類します。タグのないパケットについては、ポートのデフォルト CoS 値を使用します。
device cisco-phone	（任意）信頼設定に応じて、Cisco IP Phone（信頼される境界）から送信された CoS または DSCP 値を信頼することにより入力パケットを分類します。
dscp	（任意）パケット DSCP 値（8 ビットサービスタイプフィールドの上位 6 ビット）を使用して、入力パケットを分類します。非 IP パケットでパケットがタグ付きの場合は、パケット CoS が使用されます。タグなしパケットの場合は、デフォルトのポート CoS 値が使用されます。
ip-precedence	（任意）パケットの IP precedence 値（8 ビットサービスタイプフィールドの上位 3 ビット）を使用して、入力パケットを分類します。非 IP パケットでパケットがタグ付きの場合は、パケット CoS が使用されます。タグのない非 IP パケットの場合、デフォルトポートの CoS 値が使用されます。

デフォルト

ポートは信頼されていません。キーワードが指定されず、コマンドが入力されている場合、デフォルトは dscp です。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

QoS（Quality of Service）ドメインに着信するパケットは、ドメインのエッジで分類されます。パケットがエッジで分類されると、QoS ドメイン内の各スイッチでパケットを分類する必要がないので、QoS ドメイン内のスイッチポートはいずれか 1 つの信頼状態に設定できます。ポートが信頼されているかどうか、またどのパケットのフィールドがトラフィックの分類に使用されるのかを指定する場合に、このコマンドを使用します。

ポートに信頼 DSCP または信頼 IP precedence が設定され、着信パケットが非 IP パケットの場合は、CoS/DSCP マップを使用して、CoS 値から対応する DSCP 値が導き出されます。CoS は、トランクポートの場合はパケット CoS、非トランクポートの場合はデフォルトのポート CoS となります。

DSCP が信頼されている場合、IP パケットの DSCP フィールドは変更されません。ただし、パケットの CoS 値を（DSCP/CoS マップに基づいて）変更することは可能です。

CoS が信頼されている場合、パケットの CoS フィールドは変更されませんが、IP パケットである場合には（CoS/DSCP マップに基づいて）DSCP を変更することはできます。

信頼境界機能は、ユーザがネットワーク化された Cisco IP Phone から PC を切断し、これをスイッチポートに接続して信頼された CoS または DSCP 設定を使用する場合のセキュリティ問題の発生を防止します。スイッチおよび IP Phone に接続されたポートで Cisco Discovery Protocol（CDP）をグローバルにイネーブルにする必要があります。IP Phone が検出されなかった場合、信頼境界機能はスイッチまたはルーテッドポートの信頼設定をディセーブルにし、高プライオリティキューが誤って使用されないようにします。

DSCP または IP precedence の信頼設定を行うと、着信パケットの DSCP 値または IP precedence 値が信頼されます。IP Phone に接続するスイッチポートで mls qos cos override インターフェイスコンフィギュレーションコマンドを設定すると、スイッチは着信音声およびデータパケットの CoS を無効にし、デフォルトの CoS 値をそれらに割り当てます。

QoS ドメイン間境界の場合は、ポートを DSCP 信頼状態に設定し、DSCP 値が QoS ドメイン間で異なる場合は DSCP/DSCP 変換マップを適用できます。

ポート信頼状態を使用した分類（たとえば、 mls qos trust [ cos | dscp | ip-precedence ]）とポリシーマップ（たとえば、 service-policy input policy-map-name ）は同時に指定できません。最後に行われた設定により、前の設定が上書きされます。

（注） Cisco IOS Release 12.2（52）SE 以降では、デュアル IPv4/IPv6 Switch Database Management（SDM）テンプレートで IPv6 ポートベースの信頼がサポートされます。IPv6 が実行されているスイッチでは、デュアル IPv4/IPv6 テンプレートをリロードする必要があります。

例

次の例では、着信パケットの IP precedence フィールドを信頼するようにポートを設定する方法を示します。

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# mls qos trust ip-precedence

次の例では、ポートに接続している Cisco IP Phone が信頼できる装置であると指定する方法を示します。

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# mls qos trust device cisco-phone

設定を確認するには、 show mls qos interface 特権 EXEC コマンドを入力します。

mls qos vlan-based

物理ポート上で VLAN ベースの QoS（Quality Of Service）をイネーブルにするには、mls qos vlan-based インターフェイスコンフィギュレーションコマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。

mls qos vlan-based

no mls qos vlan-based

（注）このコマンドは、スイッチが IP サービスイメージを稼動している場合にだけ使用できます。

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

VLAN ベースの QoS はディセーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

階層ポリシーマップをスイッチ仮想インターフェイス（SVI）に適用するには、階層ポリシーマップのセカンダリインターフェイスレベルでポートを指定するときに、物理ポートで mls qos vlan-based インターフェイスコンフィギュレーションコマンドを使用します。

階層ポリシングを設定すると、階層ポリシーマップは SVI に適用され、VLAN に属するすべてのトラフィックに反映されます。インターフェイスレベルのトラフィック分類における個々のポリサーは、分類に従って指定された物理ポートだけに反映されます。

階層型ポリシーマップを設定する詳細な手順については、このリリースに対応するソフトウェアコンフィギュレーションガイドの「Classifying, Policing, and Marking Traffic by Using Hierarchical Policy Maps」を参照してください。

例

次の例では、物理ポート上で VLAN ベースのポリシングをイネーブルにする方法を示します。

Switch(config)# interface gigabitethernet1/1

Switch(config-if)# mls qos vlan-based

設定を確認するには、 show mls qos interface 特権 EXEC コマンドを入力します。

monitor session

新規のスイッチドポートアナライザ（SPAN）セッションまたはリモート SPAN（RSPAN）送信元/宛先セッションを開始し、ネットワークセキュリティデバイス（Cisco IDS センサーアプライアンスなど）の宛先ポート上で入力トラフィックをイネーブルにし、既存の SPAN または RSPAN セッションでインターフェイスや VLAN を追加/削除し、SPAN 送信元トラフィックを特定の VLAN に制限（フィルタリング）するには、 monitor session グローバルコンフィギュレーションコマンドを使用します。SPAN または RSPAN セッションを削除したり、SPAN または RSPAN セッションから送信元/宛先インターフェイスまたはフィルタを削除したりするには、このコマンドの no 形式を使用します。宛先インターフェイスに対してこのコマンドの no 形式を使用すると、カプセル化オプションは無視されます。

monitor session session_number destination { interface interface-id [, | -] [ encapsulation {dot1q | replicate}] [ ingress { dot1q vlan vlan-id | untagged vlan vlan-id | vlan vlan-id }]} | { remote vlan vlan-id }

monitor session session_number filter vlan vlan-id [, | -]

monitor session session_number source { interface interface-id [, | -] [ both | rx | tx ]} | { vlan vlan-id [, | -] [ both | rx | tx ]}| { remote vlan vlan-id }

no monitor session { session_number | all | local | remote }

no monitor session session_number destination { interface interface-id [, | -] [ encapsulation {dot1q | replicate}] [ ingress { dot1q vlan vlan-id | untagged vlan vlan-id | vlan vlan-id }]} | { remote vlan vlan-id }

no monitor session session_number filter vlan vlan-id [, | -]

no monitor session session_number source { interface interface-id [, | -] [ both | rx | tx ]} | { vlan vlan-id [, | -] [ both | rx | tx ]} | { remote vlan vlan-id }

シンタックスの説明

session_number	SPAN または RSPAN セッションで識別されるセッション番号を指定します。指定できる範囲は 1 ～ 66 です。
destination	SPAN または RSPAN の宛先を指定します。宛先は物理ポートである必要があります。
interface interface-id	SPAN または RSPAN セッションの宛先または送信元インターフェイスを指定します。有効なインターフェイスは物理ポート（タイプおよびポート番号を含む）です。送信元インターフェイスの場合は、ポートチャネルも有効なインターフェイスタイプであり、指定できる範囲は 1 ～ 6 です。
encapsulation dot1q	（任意）宛先インターフェイスが IEEE 802.1Q カプセル化方式を使用することを指定します。次のキーワードは、ローカル SPAN にのみ有効です。RSPAN に対しては、RSPAN VLAN ID が元の VLAN ID を上書きするため、パケットは常にタグなしで送信されます。
encapsulation replicate	（任意）宛先インターフェイスが送信元インターフェイスのカプセル化方式を複製することを指定します。選択しない場合のデフォルトは、ネイティブ形式（タグなし）でのパケットの送信です。次のキーワードは、ローカル SPAN にのみ有効です。RSPAN、RSPAN VLAN ID は元の VLAN ID を上書きするため、パケットは常にタグなしで送信されます。
ingress	（任意）入トラフィック転送をイネーブルにします。
dot1q vlan vlan-id	デフォルト VLAN として指定された VLAN で IEEE 802.1Q カプセル化を持つ着信パケットを受け入れます。
untagged vlan vlan-id	デフォルト VLAN として指定された VLAN でタグなしカプセル化を持つ着信パケットを受け入れます。
vlan vlan-id	ingress キーワードのみで使用された場合、入トラフィックにデフォルトの VLAN を設定します。
remote vlan vlan-id	RSPAN 送信元または宛先セッションのリモート VLAN を指定します。指定できる範囲は 2 ～ 1001 および 1006 ～ 4094 です。 RSPAN VLAN は VLAN 1（デフォルトの VLAN）、または VLAN ID 1002 ～ 1005（トークンリングおよび FDDI VLAN に予約済）になることはできません。
,	（任意）一連のインターフェイスまたは VLAN を指定します。または、以前の範囲からインターフェイスまたは VLAN の範囲を分離します。カンマの前後にスペースを入れます。
-	（任意）インターフェイスまたは VLAN の範囲を指定します。ハイフンの前後にスペースを入れます。
filter vlan vlan-id	SPAN 送信元トラフィックを特定の VLAN に制限するため、トランクの送信元ポート上のフィルタとして VLAN のリストを指定します。 vlan-id で指定できる範囲は 1 ～ 4094 です。
source	SPAN または RSPAN の送信元を指定します。物理ポート、ポートチャネル、VLAN が送信元になることができます。
both、rx、tx	（任意）監視するトラフィックの方向を指定します。トラフィックの方向を指定しない場合、送信元インターフェイスは送受信のトラフィックを送信します。
source vlan vlan-id	VLAN ID として SPAN の送信元インターフェイスを指定します。指定できる範囲は 1 ～ 4094 です。
all 、 local 、 remote	すべての SPAN および RSPAN、すべてのローカル SPAN、すべての RSPAN セッションを消去するため、 no monitor session コマンドに all 、 local 、 remote を指定します。

デフォルト

モニタセッションは設定されていません。

送信元インターフェイスのデフォルトでは、受信トラフィックと送信トラフィックの両方を監視します。

送信元ポートとして使用されるトランクインターフェイス上では、すべての VLAN が監視されます。

ローカル SPAN の宛先ポートで encapsulation replicate が指定されなかった場合、パケットはカプセル化のタグなしのネイティブ形式で送信されます。

入力転送は宛先ポートではディセーブルになっています。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

送信元ポートまたは送信元 VLAN を出入りするトラフィックは、SPAN または RSPAN を使用して監視できます。送信元ポートまたは送信元 VLAN にルーティングされるトラフィックは監視できません。

2 つのローカル SPAN セッションおよび RSPAN 送信元セッションを組み合わせた最大値を設定できます。スイッチ上で、合計 66 の SPAN および RSPAN セッションを保有できます。

スイッチ上で、最大 64 の宛先ポートを保有できます。

各セッションには複数の入力または出力の送信元ポートまたは VLAN を含めることができますが、1 つのセッション内で送信元ポートと送信元 VLAN を組み合わせることはできません。各セッションは複数の宛先ポートを保有できます。

VLAN-based SPAN（VSPAN）を使用して、VLAN または一連の VLAN 内のネットワークトラフィックを解析する場合、送信元 VLAN のすべてのアクティブポートが SPAN または RSPAN セッションの送信元ポートになります。トランクポートは VSPAN の送信元ポートとして含まれ、監視された VLAN ID のパケットのみが宛先ポートに送信されます。

1 つのポート、1 つの VLAN、一連のポート、一連の VLAN、ポート範囲、VLAN 範囲でトラフィックを監視できます。[ , | - ] オプションを使用することにより、一連のインターフェイスまたはインターフェイス範囲、一連の VLAN または VLAN 範囲を指定します。

一連の VLAN またはインターフェイスを指定するときは、カンマ（,）の前後にスペースが必要です。VLAN またはインターフェイスの範囲を指定するときは、ハイフン（ - ）の前後にスペースが必要です。

EtherChannel ポートは、SPAN または RSPAN 宛先ポートとして設定することはできません。EtherChannel グループのメンバーである物理ポートは、宛先ポートとして使用できます。ただし、SPAN の宛先として機能する間は、EtherChannel グループに参加できません。

プライベート VLAN ポートは、SPAN 宛先ポートには設定できません。

個々のポートはそれらが EtherChannel に参加している間も監視することができます。また、RSPAN 送信元インターフェイスとして port-channel 番号を指定することで EtherChannel バンドル全体を監視することができます。

宛先ポートとして使用しているポートは、SPAN または RSPAN 送信元ポートにすることはできません。また、同時に複数のセッションの宛先ポートにすることはできません。

SPAN または RSPAN 宛先ポートであるポート上で IEEE 802.1x 認証をイネーブルにすることはできますが、ポートが SPAN 宛先として削除されるまで IEEE 802.1x 認証はディセーブルです。IEEE 802.1x 認証がポート上で使用できない場合、スイッチはエラーメッセージを返します。SPAN または RSPAN 送信元ポートでは IEEE 802.1x 認証をイネーブルにすることができます。

VLAN のフィルタリングは、トランクの送信元ポート上で選択された一連の VLAN のネットワークトラフィック解析を参照します。デフォルトでは、すべての VLAN がトランクの送信元ポートで監視されます。 monitor session session_number filter vlan vlan-id コマンドを使用すると、トランク送信元ポートの SPAN トラフィックを指定された VLAN だけに限定できます。

VLAN のモニタリングおよび VLAN のフィルタリングは相互に排他的な関係です。VLAN が送信元の場合、VLAN のフィルタリングはイネーブルにできません。VLAN のフィルタリングが設定されている場合、VLAN は送信元になることができません。

入トラフィック転送がネットワークセキュリティデバイスでイネーブルの場合、宛先ポートはレイヤ 2 でトラフィックを転送します。

宛先ポートは次のような動作を設定できます。

• 他のキーワードなしで、 monitor session session_number destination interface interface-id を入力した場合、出力のカプセル化はタグなしとなり、入力転送はイネーブルになりません。

• monitor session session_number destination interface interface-id ingress を入力した場合は、出力カプセル化はタグなしで、入力カプセル化はそのあとに続くキーワードが dot1q 、 isl 、または untagged のいずれであるかによって決まります。

• 他のキーワードを指定せずに monitor session session_number destination interface interface-id encapsulation dot1q を入力すると、出力カプセル化で IEEE 802.1Q カプセル化方式が使用されます（これは、ローカル SPAN だけに適用されます。RSPAN は dot1q カプセル化 をサポートしていません）。

• monitor session session_number destination interface interface-id encapsulation dot1q ingress を入力した場合は、出力カプセル化には IEEE 802.1Q カプセル化が使用され、入力カプセル化はそのあとに続くキーワードが、 dot1q または untagged のいずれであるかによって決まります（これは、ローカル SPAN だけに適用されます。RSPAN は dot1q カプセル化 をサポートしていません）。

• その他のキーワードを指定せずに、 monitor session session_number destination interface interface-id encapsulation replicate を入力した場合は、出力カプセル化は送信元インターフェイスカプセル化を複製し、入力トラフィック転送はイネーブルにはなりません（これは、ローカル SPAN だけに適用されます。RSPAN はカプセル化の複製をサポートしていません）。

• monitor session session_number destination interface interface-id encapsulation replicate ingress を入力した場合は、出力カプセル化は送信元インターフェイスのカプセル化を複製し、入力カプセル化はそのあとに続くキーワードが、 dot1q 、 isl 、または untagged のいずれであるかによって決まります（これはローカル SPAN のみに適用します。RSPAN はカプセル化の複製をサポートしていません）。

例

次の例では、ローカル SPAN セッション 1 を作成し、送信元ポート 1 から宛先ポート 2 に送受信するトラフィックを監視する方法を示します。

Switch(config)# monitor session 1 source interface gigabitethernet1/1 both

Switch(config)# monitor session 1 destination interface gigabitethernet1/2

次の例では、宛先ポートを既存のローカル SPAN セッションから削除する方法を示します。

Switch(config)# no monitor session 2 destination gigabitethernet1/2

次の例では、既存のセッションの SPAN トラフィックを特定の VLAN にのみ制限する方法を示します。

Switch(config)# monitor session 1 filter vlan 100 - 110

次の例では、複数の送信元インターフェイスを監視する RSPAN 送信元セッション 1 を設定し、さらに宛先 RSPAN VLAN 900 を設定する方法を示します。

Switch(config)# monitor session 1 source interface gigabitethernet1/1

Switch(config)# monitor session 1 source interface port-channel 2 tx

Switch(config)# monitor session 1 destination remote vlan 900

Switch(config)# end

次の例では、監視されたトラフィックを受信するスイッチで RSPAN 宛先セッション 10 を設定する方法を示します。

Switch(config)# monitor session 10 source remote vlan 900

Switch(config)# monitor session 10 destination interface gigabitethernet1/2

次の例では、IEEE 802.1Q カプセル化をサポートするセキュリティ装置を使用して、VLAN 5 の入力トラフィックに対応する宛先ポートを設定する方法を示します。出力トラフィックは送信元のカプセル化を複製します。入力トラフィックは IEEE 802.1Q カプセル化を使用します。

Switch(config)# monitor session 2 destination interface gigabitethernet1/2 encapsulation replicate ingress dot1q vlan 5

次の例では、カプセル化をサポートしないセキュリティデバイスを使用して、VLAN 5 上の入トラフィックの宛先ポートを設定する方法を示します。出力トラフィックおよび入力トラフィックは、タグ付けされていません。

Switch(config)# monitor session 2 destination interface gigabitethernet1/2 ingress untagged vlan 5

設定を確認するには、 show monitor 特権 EXEC コマンドを入力します。 show running-config 特権 EXEC コマンドを入力すると、スイッチの SPAN および RSPAN 設定を表示できます。SPAN 情報は出力の最後付近に表示されます。

mvr (global configuration)

スイッチで Multicast VLAN Registration（MVR; マルチキャスト VLAN レジストレーション）機能をイネーブルにするには、キーワードを指定せずに mvr グローバルコンフィギュレーションコマンドを使用します。このコマンドをキーワードとともに使用すると、スイッチの MVR モードの設定、MVR IP マルチキャストアドレスの設定、またはグループメンバシップからのポートの削除を行う前に、クエリーの返答を待つ最大時間の設定、または MVR マルチキャスト VLAN の指定が行われます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mvr [ group ip-address [ count ] | mode [ compatible | dynamic ] | querytime value | vlan vlan-id ]

no mvr [ group ip-address | mode [ compatible | dynamic ] | querytime value | vlan vlan-id ]

シンタックスの説明

group ip-address	スイッチの MVR グループ IP マルチキャストアドレスをスタティックに設定します。スタティックに設定した IP マルチキャストアドレスまたは連続アドレスを削除したり、IP アドレスが入力されない場合にすべてのスタティックに設定された MVR IP マルチキャストアドレスを削除したりする場合は、このコマンドの no 形式を使用します。
count	（任意）複数の連続 MVR グループアドレスを設定します。指定できる範囲は 1 ～ 256 です。デフォルト値は 1 です。
mode	（任意）MVR の動作モードを指定します。デフォルトは compatible モードです。
compatible	MVR モードを設定して、Catalyst 2900 XL および Catalyst3500XL スイッチと互換性を持つようにします。このモードでは、送信元ポートでのダイナミックメンバシップ加入は使用できません。
dynamic	MVR モードを設定して、送信元ポートでダイナミック MVR メンバシップを使用できるようにします。
querytime value	（任意）レシーバーポートで IGMP レポートメンバシップを待機する最大時間を設定します。この時間は、レシーバーポート脱退処理にだけ適用されます。IGMP クエリーがレシーバーポートから送信された場合、スイッチは、デフォルトまたは設定された MVR クエリー時間が経過するまで IGMP グループメンバシップレポートを待ってから、ポートをマルチキャストグループメンバシップから削除します。この値は 10 分の 1 秒単位の応答時間です。指定できる範囲は 1 ～ 100 です。デフォルトは 5/10 秒つまり 1/2 秒です。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
vlan vlan-id	（任意）MVR マルチキャストデータの受信が予想される VLAN を指定します。これは、すべての送信元ポートが属する VLAN でもあります。指定できる範囲は 1 ～ 4094 です。デフォルト値は VLAN 1 です。

デフォルト

MVR はデフォルトでディセーブルです。

デフォルトの MVR モードは、compatible モードです。

IP マルチキャストアドレスは、デフォルトではスイッチで設定されます。

デフォルトのグループ IP アドレスカウントは 0 です。

デフォルトのクエリー応答時間は 5/10 秒つまり 1/2 秒です。

デフォルトの MVR 用マルチキャスト VLAN は VLAN 1 です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

1 つのスイッチに最大 256 個の MVR マルチキャストグループを設定できます。

MVR に属するすべての IP マルチキャストアドレスをスタティックに設定する場合は、 mvr group コマンドを使用します。設定したマルチキャストアドレスに送信されたマルチキャストデータは、スイッチのすべての送信元ポートおよびその IP マルチキャストアドレスでデータを受信するよう登録されたすべてのレシーバーポートに送信されます。

MVR はスイッチのエイリアス IP マルチキャストアドレスをサポートします。ただし、スイッチが Catalyst 3550 または Catalyst 3500 XL スイッチと連携動作している場合は、それらの間でエイリアスとして使用される IP アドレスや予約済みの IP マルチキャストアドレス（224.0.0.xxx 範囲内）を設定する必要はありません。

mvr querytime コマンドはレシーバーポートだけに適用されます。

スイッチ MVR が、Catalyst 2900 XL または Catalyst 3500 XL スイッチと相互動作している場合は、マルチキャストモードを compatible に設定してください。

compatible モードで動作している場合は、MVR は MVR 送信元ポートでの IGMP ダイナミック加入をサポートしません。

MVR はスイッチで IGMP スヌーピングと共存できます。

マルチキャストルーティングおよび MVR はスイッチ上で共存できません。MVR がイネーブルになっている状態で、マルチキャストルーティングおよびマルチキャストルーティングプロトコルをイネーブルにした場合、MVR はディセーブルになり、警告メッセージが表示されます。マルチキャストルーティングおよびマルチキャストルーティングプロトコルがイネーブルの状態で、MVR をイネーブルにしようとすると、MVR をイネーブルにする操作はキャンセルされ、エラーメッセージが表示されます。

例

次の例では、MVR をイネーブルにする方法を示します。

Switch(config)# mvr

show mvr 特権 EXEC コマンドを使用すると、最大のマルチキャストグループの現在の設定を表示できます。

次の例では、228.1.23.4 を IP マルチキャストアドレスとして設定する方法を示します。

Switch(config)# mvr group 228.1.23.4

次の例では、228.1.23.1 ～ 228.1.23.10 のマルチキャストアドレスとともに 10 の連続 IP マルチキャストグループを設定する方法を示します。

Switch(config)# mvr group 228.1.23.1 10

スイッチで設定された IP マルチキャストグループアドレスを表示する場合は、 show mvr members 特権 EXEC コマンドを使用します。

次の例では、最大クエリー応答時間を 1 秒（10/10）に設定する方法を示します。

Switch(config)# mvr querytime 10

次の例では、VLAN 2 をマルチキャスト VLAN として設定する方法を示します。

Switch(config)# mvr vlan 2

設定を確認するには、 show mvr 特権 EXEC コマンドを入力します。

mvr (interface configuration)

レイヤ 2 ポートを Multicast VLAN Registration（MVR）のレシーバーポートまたは送信元ポートとして設定し、即時脱退機能を設定し、IP マルチキャスト VLAN と IP アドレスにポートをスタティックに割り当てるには、 mvr インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

mvr [ immediate | type { receiver | source } | vlan vlan-id group [ ip-address ]]

no mvr [ immediate | type { source | receiver } | vlan vlan-id group [ ip-address ]]

シンタックスの説明

immediate	（任意）ポートの MVR の即時脱退機能をイネーブルにします。この機能をディセーブルにするには、no mvr immediate コマンドを使用します。
type	（任意）ポートを MVR レシーバーポートまたは送信元ポートとして設定します。デフォルトポートタイプは、MVR 送信元ポートおよびレシーバーポートのどちらでもありません。 no mvr type コマンドは、送信元ポートおよびレシーバーポートのどちらでもないポートとしてポートをリセットします。
receiver	ポートを、マルチキャストデータの受信のみが可能な加入者ポートとして設定します。レシーバーポートはマルチキャスト VLAN に属することはできません。
source	ポートを、設定済みのマルチキャストグループとのマルチキャストデータの送受信が可能なアップリンクポートとして設定します。スイッチのポートはすべて単一のマルチキャスト VLAN に属します。
vlan vlan-id group	（任意）ポートを、指定された VLAN ID を持つマルチキャストグループのスタティックメンバーとして追加します。 no mvr vlan vlan-id group コマンドは、IP マルチキャストアドレスグループのメンバシップから VLAN 上のポートを削除します。
ip-address	（任意）指定されたマルチキャスト VLAN ID の指定された MVR IP マルチキャストグループアドレスをスタティックに設定します。これは、ポートが加入しているマルチキャストグループの IP アドレスです。

デフォルト

ポートはレシーバーとしても送信元としても設定されません。

即時脱退機能はすべてのポートでディセーブルです。

レシーバーポートはどの設定済みマルチキャストグループにも属していません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

ポートが設定されたマルチキャストグループ向けマルチキャストデータを送受信できるようにする場合は、ポートを送信元ポートとして設定します。マルチキャストデータは送信元ポートとして設定されているすべてのポートで受信されます。

レシーバーポートはトランクポートになることはできません。スイッチのレシーバーポートは異なる VLAN に属していてもかまいませんが、マルチキャスト VLAN に属することはできません。

MVR に参加していないポートは、MVR レシーバーポートまたは送信元ポートとして設定しないでください。非 MVR ポートは通常のスイッチポートであり、通常のスイッチ動作でマルチキャストデータを送受信できます。

即時脱退機能がイネーブルの場合、レシーバーポートはより短時間でマルチキャストグループから脱退します。即時脱退機能がなく、スイッチがレシーバーポートのグループから IGMP Leave メッセージを受信した場合、スイッチは、そのポートに IGMP MAC ベースのクエリーを送信し、IGMP グループメンバシップレポートを待ちます。設定された時間内にレポートが届かないと、レシーバーポートがマルチキャストグループメンバシップから削除されます。即時脱退機能では、IGMP Leave を受信したレシーバーポートから IGMP MAC ベースのクエリーは送信されません。Leave メッセージの受信後ただちに、マルチキャストグループメンバシップからレシーバーポートが削除されるので、脱退のための待ち時間が短縮されます。

即時脱退機能をイネーブルにするのは、レシーバー装置が 1 つだけ接続されているレシーバーポートに限定してください。

mvr vlan group コマンドは、IP マルチキャストアドレスに送信されたマルチキャストトラフィックを受信するようにポートをスタティックに設定します。グループのメンバーとしてスタティックに設定されたポートは、スタティックに削除されるまではそのグループのメンバーのままです。compatible モードでは、このコマンドはレシーバーポートだけに適用されます。dynamic モードでは送信元ポートにも適用されます。レシーバーポートは、IGMP Join メッセージを使用してダイナミックにマルチキャストグループに加入することもできます。

compatible モードで動作している場合は、MVR は MVR 送信元ポートでの IGMP ダイナミック加入をサポートしません。

MVR ポートはプライベート VLAN ポートにはなれません。

例

次の例では、MVR レシーバーポートとしてポートを設定する方法を示します。

Switch(config)# interface gigabitethernet1/2

Switch(config-if)# mvr type receiver

設定されたレシーバーポートおよび送信元ポートを表示するには、 show mvr interface 特権 EXEC コマンドを使用します。

次の例では、ポートの即時脱退機能をイネーブルにする方法を示します。

Switch(config)# interface gigabitethernet1/2

Switch(config-if)# mvr immediate

次の例では、VLAN 1 のポートを IP マルチキャストグループ 228.1.23.4 のスタティックメンバーとして追加する方法を示します。

Switch(config)# interface gigabitethernet1/2

Switch(config-if)# mvr vlan1 group 230.1.23.4

設定を確認するには、 show mvr members 特権 EXEC コマンドを入力します。

network-policy

インターフェイスにネットワークポリシープロファイルを適用するには、 network-policy インターフェイスコンフィギュレーション コマンドを使用します。ポリシーを削除する場合は、このコマンドの no 形式を使用します。

network-policy profile number

no network-policy

シンタックスの説明

profile number

ネットワークポリシープロファイル番号を指定します。

デフォルト

ネットワークポリシープロファイルは適用されません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

インターフェイスにプロファイルを適用するには、 network-policy profile number インターフェイスコンフィギュレーションコマンドを使用します。

ネットワークポリシープロファイルを初めて設定したインターフェイスには、 switchport voice vlan コマンドを適用できません。 switchport voice vlan vlan-id がすでに設定されているインターフェイスには、ネットワークポリシープロファイルを適用できます。そのインターフェイスにはその後、音声または音声シグナリング VLAN ネットワークポリシープロファイルが適用されます。

例

次の例では、インターフェイスにネットワークポリシープロファイル 60 を適用する方法を示します。

Switch(config)# interface_id

Switch(config-if)# network-policy profile 60

network-policy profile (global configuration)

ネットワークポリシープロファイルを作成し、ネットワークポリシー設定モードを開始するには、 network-policy profile global configuration コマンドを使用します。ポリシーを削除し、グローバルコンフィギュレーションモードに戻るには、このコマンドの no 形式を使用します。

network-policy profile profile number

no network-policy profile profile number

シンタックスの説明

profile number

ネットワークポリシープロファイル番号を指定します。指定できる範囲は 1 ～ 4294967295 です。

デフォルト

ネットワークポリシープロファイルは定義されません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

プロファイルを作成し、ネットワークポリシープロファイル設定モードを開始するには、 network-policy profile グローバルコンフィギュレーションコマンドを使用します。

ネットワークポリシープロファイルコンフィギュレーションモードから特権 EXEC モードに戻る場合は、 exit コマンドを入力します。

ネットワークポリシープロファイル設定モードに入っている場合は、VLAN、サービスクラス（CoS）、Differentiated Services Code Point（DSCP）、およびタギングモードの値を指定して、音声と音声信号のプロファイルを作成できます。

この後、これらのプロファイル属性が Link Layer Discovery Protocol for Media Endpoint Devices（LLDP-MED） network-policy Type-Length-Value（TLV）に格納されます。

例

次の例では、ネットワークポリシープロファイル 60 を作成する方法を示します。

Switch(config)# network-policy profile 60

Switch(config-network-policy)#

network-policy profile (network-policy configuration)

network-policy profile グローバルコンフィギュレーションコマンドで作成したネットワークポリシープロファイルを設定するには、 network-policy profile コンフィギュレーションモード コマンドを使用します。プロファイルを削除する場合は、追加パラメータを指定せずにこのコマンドの no 形式を使用します。設定された属性を変更する場合は、パラメータを指定してこのコマンドの no 形式を使用します。

network-policy profile profile number {voice | voice-signaling} vlan [ vlan-id {cos cvalue | dscp dvalue } ] | [[dot1p {cos cvalue | dscp dvalue }] | none | untagged]

no network-policy profile profile number {voice | voice-signaling} vlan [ vlan-id | {cos cvalue } | {dscp dvalue } ] | [[dot1p {cos cvalue } | {dscp dvalue }] | none | untagged]

シンタックスの説明

voice	音声アプリケーションタイプを指定します。
voice-signaling	音声シグナリングアプリケーションタイプを指定します。
vlan	音声トラフィックのネイティブ VLAN を指定します。
vlan-id	（任意）音声トラフィックの VLAN を指定します。指定できる範囲は 1 ～ 4094 です。
cos cvalue	（任意）設定された VLAN のレイヤ 2 プライオリティサービスクラス（CoS）を指定します。指定できる範囲は 0 ～ 7 です。デフォルト値は 0 です。
dscp dvalue	（任意）設定された VLAN の Differentiated Services Code Point（DSCP）値を指定します。指定できる範囲は 0 ～ 63 です。デフォルト値は 0 です。
dot1p	（任意）IEEE 802.1p プライオリティタギングおよび VLAN 0（ネイティブ VLAN）を使用するように IP Phone を設定します。
none	（任意）音声 VLAN に関して IP Phone に指示しません。IP Phone のキーパッドから入力された設定を使用します。
untagged	（任意）タグなしの音声トラフィックを送信するように IP Phone を設定します。これが IP Phone のデフォルト設定になります。

デフォルト

ネットワークポリシーは定義されません。

コマンドモード

ネットワークポリシー設定

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

ネットワークポリシープロファイルの属性を設定するには、 network-policy profile コマンドを使用します。

voice アプリケーションタイプは、対話形式の音声サービスをサポートしている専用 IP Phone およびそれと同等のデバイスを対象としています。通常、これらのデバイスは、導入の簡素化とセキュリティの強化を図るために、データアプリケーションから切り離して別々の VLAN 上に配置されます。

voice-signaling アプリケーションタイプは、音声信号と音声メディアにそれぞれ異なるポリシーが必要となるネットワークトポロジを対象としています。すべてのネットワークポリシーが voice policy TLV でアドバタイズされたものとして適用されている場合は、このアプリケーションタイプをアドバタイズしないでください。

次の例では、CoS のプライオリティを 4 として VLAN 100 に音声アプリケーションタイプを設定する方法を示します。

Switch(config)# network-policy profile 1

Switch(config-network-policy)# voice vlan 100 cos 4

次の例では、DSCP 値を 34 として VLAN 100 に音声アプリケーションタイプを設定する方法を示します。

Switch(config)# network-policy profile 1

Switch(config-network-policy)# voice vlan 100 dscp 34

次の例では、プライオリティタギングを使用したネイティブ VLAN に音声アプリケーションタイプを設定する方法を示します。

Switch(config-network-policy)# voice vlan dot1p cos 4

nmsp

スイッチでネットワークモビリティサービスプロトコル（NMSP）をイネーブルにするには、 nmsp グローバルコンフィギュレーション コマンドを使用します。このコマンドは、スイッチで暗号化ソフトウェアイメージが実行されている場合にだけ使用できます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

nmsp { enable | { notification interval { attachment | location } interval-seconds}}

no nmsp { enable | { notification interval { attachment | location } interval-seconds}}

シンタックスの説明

enable	スイッチで NMSP 機能をイネーブルにします。
notification interval	NMSP 通知間隔を指定します。
attachment	接続通知間隔を指定します。
location	位置通知間隔を指定します。
interval-seconds	スイッチから MSE に位置更新または接続更新が送信されるまでの期間（秒）。指定できる範囲は 1 ～ 30 です。デフォルト値は 30 です。

デフォルト

NMSP はディセーブルになっています。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

スイッチから Cisco Mobility Services Engine（MSE; モビリティサービスエンジン）への NMSP 位置通知および接続通知の送信をイネーブルにするには、 nmsp グローバルコンフィギュレーションコマンドを使用します。

例

次の例では、スイッチ上で NMSP をイネーブルにして、位置通知間隔を 10 秒に設定する方法を示します。

Switch(config)# vlan enable

Switch(config)# vlan notification interval location 10

nmsp attachment suppress

指定されたインターフェイスからの接続情報のレポートを抑制するには、 nmsp attachment suppress インターフェイスコンフィギュレーションモード コマンドを使用します。このコマンドは、スイッチで暗号化ソフトウェアイメージが実行されている場合にだけ使用できます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

nmsp attachment suppress

no nmsp attachment suppress

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

このコマンドにはデフォルト設定はありません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

Cisco モビリティサービスエンジン（MSE）に位置通知と接続通知を送信しないようにインターフェイスを設定するには、 nmsp attachment suppress インターフェイスコンフィギュレーションコマンドを使用します。

例

次の例では、MSE に接続情報を送信しないようにインターフェイスを設定する方法を示します。

Switch(config)# switch interface interface-id

Switch(config-if)# nmsp attachment suppress

pagp learn-method

EtherChannel ポートから受信した着信パケットの送信元アドレスを学習するには、 pagp learn-method インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

pagp learn-method { aggregation-port | physical-port }

no pagp learn-method

シンタックスの説明

aggregation-port	論理ポートチャネルで学習するアドレスを指定します。スイッチは、EtherChannel のいずれかのポートを使用することによって、送信元にパケットを送信します。この設定は、デフォルトです。集約ポートラーニングの場合、どの物理ポートにパケットが届くかは重要でありません。
physical-port	EtherChannel 内の物理ポートで学習するアドレスを指定します。スイッチは、送信元アドレスを学習したものと同じ EtherChannel 内のポートを使用して送信元へパケットを送信します。チャネルの一方の終端は、特定の宛先 MAC または IP アドレスのチャネルのポートと同一のポートを使用します。

デフォルト

aggregation-port（論理ポートチャネル）です。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

学習方式は、リンクの両端で同一の設定にする必要があります。

（注） CLI（コマンドラインインターフェイス）を経由して physical-port キーワードが指定された場合でも、スイッチがサポートするのは、集約ポートでのアドレスの学習のみです。スイッチハードウェアでは、pagp learn-method および pagp port-priority インターフェイスコンフィギュレーションコマンドは無効ですが、Catalyst 1900 スイッチなどの物理ポートによるアドレス学習だけをサポートするデバイスとの PAgP の相互運用にはこれらのコマンドが必要です。

スイッチへのリンクパートナーが物理ラーナーである場合、pagp learn-method physical-port インターフェイスコンフィギュレーションコマンドを使用してスイッチを物理ポートラーナーとして設定し、port-channel load-balance src-mac グローバルコンフィギュレーションコマンドを使用して送信元 MAC アドレスに基づいた負荷分散方式を設定することを推奨します。この状況でのみ、pagp learn-method インターフェイスコンフィギュレーションコマンドを使用します。

例

次の例では、学習方式を設定し、EtherChannel 内の物理ポート上のアドレスを学習する方法を示します。

次の例では、学習方式を設定し、Switch(config-if)# pagp learn-method physical-port

EtherChannel 内のポートチャネル上のアドレスを学習する方法を示します。

Switch(config-if)# pagp learn-method aggregation-port

設定を確認するには、 show running-config 特権 EXEC コマンドまたは show pagp channel-group-number internal 特権 EXEC コマンドを入力します。

pagp port-priority

EtherChannel 経由のすべてのポート集約プロトコル（PAgP）トラフィックが送信されるポートを選択するには、 pagp port-priority インターフェイスコンフィギュレーションコマンドを使用します。EtherChannel で使用されていないすべてのポートがホットスタンバイモードにあり、現在選択されているポートやリンクに障害が発生した場合、これらのポートは稼動状態にできます。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

pagp port-priority priority

no pagp port-priority

シンタックスの説明

priority

プライオリティ番号の範囲は 0 ～ 255 です。

デフォルト

デフォルト値は 128 です。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

同じ EtherChannel 内で動作可能でメンバシップを持つ物理ポートの中で最も高いプライオリティを持つポートが、PAgP 送信用として選択されます。

例

次の例では、ポートプライオリティを 200 に設定する方法を示します。

Switch(config-if)# pagp port-priority 200

設定を確認するには、 show running-config 特権 EXEC コマンドまたは show pagp channel-group-number internal 特権 EXEC コマンドを入力します。

permit (ARP access-list configuration)

Dynamic Host Configuration Protocol（DHCP）バインディングの照合条件と一致したアドレス解決プロトコル（ARP）パケットを許可するには、 permit ARP アクセスリストコンフィギュレーションコマンドを使用します。アクセスコントロールリストから指定されたアクセスコントロールエントリ（ACE）を削除するには、このコマンドの no 形式を使用します。

permit {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]

no permit {[ request ] ip { any | host sender-ip | sender-ip sender-ip-mask } mac { any | host sender-mac | sender-mac sender-mac-mask } | response ip { any | host sender-ip | sender-ip sender-ip-mask } [{ any | host target-ip | target-ip target-ip-mask }] mac { any | host sender-mac | sender-mac sender-mac-mask } [{ any | host target-mac | target-mac target-mac-mask }]} [ log ]

シンタックスの説明

request	（任意）ARP 要求の照合条件を指定します。request を指定しない場合は、すべての ARP パケットに対して照合が行われます。
ip	送信元 IP アドレスを指定します。
any	任意の IP アドレスまたは MAC アドレスを受け入れます。
host sender-ip	指定された送信元 IP アドレスを受け入れます。
sender-ip sender-ip-mask	指定された範囲の送信元 IP アドレスを受け入れます。
mac	送信元 MAC アドレスを指定します。
host sender-mac	指定された送信元 MAC アドレスを受け入れます。
sender-mac sender-mac-mask	指定された範囲の送信元 MAC アドレスを受け入れます。
response ip	ARP 応答の IP アドレス値を定義します。
host target-ip	（任意）指定された宛先 IP アドレスを受け入れます。
target-ip target-ip-mask	（任意）指定された範囲の宛先 IP アドレスを受け入れます。
mac	ARP 応答の MAC アドレス値を指定します。
host target-mac	（任意）指定された宛先 MAC アドレスを受け入れます。
target-mac target-mac-mask	（任意）指定された範囲の宛先 MAC アドレスを受け入れます。
log	（任意）ACE と一致するパケットを記録します。 ip arp inspection vlan logging グローバルコンフィギュレーションコマンドで matchlog キーワードも設定している場合は、一致するパケットはロギングされます。

デフォルト

デフォルト設定はありません。

コマンドモード

ARP アクセスリストコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

permit 句を追加すると、一部の一致条件に基づいて ARP パケットを転送できます。

例

Switch(config)# arp access-list static-hosts

Switch(config-arp-nacl)# permit ip host 1.1.1.1 mac host 0000.0000.abcd

Switch(config-arp-nacl)# end

設定を確認するには、 show arp access-list 特権 EXEC コマンドを入力します。

permit (IPv6 access-list configuration)

IPv6 アクセスリストに許可条件を設定するには、 permit IPv6 アクセスリストコンフィギュレーションコマンドを使用します。許可条件を削除するには、このコマンドの no 形式を使用します。

permit { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]

no permit { protocol } { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ fragments ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]

（注）このコマンドは、スイッチが IP サービスイメージを稼動している場合にだけ使用できます。

（注） flow-label、reflect、および routing キーワードはコマンドラインのヘルプストリングに表示されますが、サポートされていません。

Internet Control Message Protocol（ICMP; インターネット制御メッセージプロトコル）

permit icmp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ icmp-type [ icmp-code ] | icmp-message ] [ dscp value ] [ log ] [ log-input ] [ sequence value ] [ time-range name ]

Transmission Control Protocol（TCP; 伝送制御プロトコル）

permit tcp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ ack ] [ dscp value ] [ established ] [ fin ] [ log ] [ log-input ] [ neq { port | protocol }] [ psh ] [ range { port | protocol }] [ rst ] [ sequence value ] [ syn ] [ time-range name ] [ urg ]

User Datagram Protocol（UDP; ユーザデータグラムプロトコル）

permit udp { source-ipv6-prefix / prefix-length | any | host source-ipv6-address } [ operator [ port-number ]] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address } [ operator [ port-number ]] [ dscp value ] [ log ] [ log-input ] [ neq { port | protocol }] [ range { port | protocol }] [ sequence value ] [ time-range name ]

（注） flow-label、reflect、および routing キーワードはコマンドラインのヘルプストリングに表示されますが、サポートされていません。

シンタックスの説明

protocol	インターネットプロトコルの名前または番号。 ahp 、 esp 、 icmp 、 ipv6 、 pcp 、 sctp 、 tcp 、または udp キーワードの 1 つ、あるいは IPv6 プロトコル番号を示す 0 ～ 255 の範囲の整数にすることができます。
source-ipv6-prefix / prefix-length	許可条件を設定する送信元 IPv6 ネットワークまたはネットワークのクラス。この引数には RFC2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。（注） CLI ヘルプでは /0 ～ /128 のプレフィクス長が表示されますが、スイッチは集約可能なグローバルユニキャストおよびリンクローカルホストアドレスの /0 ～ /64 のプレフィクス、および Extended Universal Identifier（EUI）ベースの /128 プレフィクスに対してのみ IPv6 アドレス照合をサポートします。
any	IPv6 プレフィクス ::/0 の省略形
host source-ipv6-address	許可条件の設定先である送信元 IPv6 ホストアドレス。この source-ipv6-address 引数には RFC 2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。
operator [ port-number ]	（任意）指定のプロトコルの送信元または宛先ポートを比較する演算子を指定します。演算子は、 lt （less than：未満）、 gt （greater than：より大きい）、 eq （equal：一致）、 neq （not equal：不一致）、 range （inclusive range：包含範囲）です。 source-ipv6-prefix / prefix-length 引数の後ろに演算子が置かれた場合、送信元ポートと一致する必要があります。 destination-ipv6-prefix/prefix-length 引数の後ろに演算子が置かれた場合、宛先ポートと一致する必要があります。 range 演算子には 2 つのポート番号が必要です。他の演算子は 1 つのポート番号が必要です。任意の port-number 引数は 10 進数、または TCP あるいは UDP ポートの名前です。ポート番号の範囲は 0 ～ 65535 です。TCP ポート名は TCP をフィルタリングする場合にだけ使用できます。UDP ポート名は UDP をフィルタリングする場合にのみ使用できます。
destination-ipv6-prefix / prefix-length	許可条件を設定する宛先 IPv6 ネットワーク、またはネットワークのクラス。この引数には RFC2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。（注） CLI ヘルプでは /0 ～ /128 のプレフィクス長が表示されますが、スイッチは集約可能なグローバルユニキャストおよびリンクローカルホストアドレスの /0 ～ /64 のプレフィクス、および EUI ベースの /128 プレフィクスに対してのみ IPv6 アドレス照合をサポートします。
host destination-ipv6-address	許可条件の設定先である宛先 IPv6 ホストアドレス。この destination-ipv6-address 引数には RFC 2373 に記載のように、コロンで区切られた 16 ビット値を使用した 16 進数形式でアドレスを指定する必要があります。
dscp value	（任意）各 IPv6 パケットヘッダーのトラフィッククラスフィールドのトラフィッククラス値と DiffServ コードポイント（DSCP）値を照合します。指定できる範囲は 0 ～ 63 です。
fragments	（任意）フラグメント拡張ヘッダーに 0 以外のフラグメントオフセットが含まれる場合、初期状態でないフラグメントパケットを照合します。 fragments キーワードは、プロトコルが ipv6 で operator [ port-number ] 引数が指定されていない場合にのみ、任意で指定できます。
log	（任意）エントリと一致するパケットに関する情報ロギングメッセージをコンソールに送信します（コンソールに記憶されるメッセージのレベルは logging console コマンドで制御します）。メッセージには、アクセスリスト名、シーケンス番号、パケットが許可されたかどうか、プロトコル（TCP、UDP、ICMP または番号のいずれか）、適正な場合には送信元/宛先アドレス、送信元/宛先ポート番号が含まれます。メッセージは、一致した最初のパケットに対して生成され、その後、5 分間隔で許可されたパケット数を含めて生成されます。
log-input	（任意） log キーワードと同じ機能を提供します（ただし、ロギングメッセージには受信インターフェイスも表示されます）。
timeout value	（任意）再帰 IPv6 アクセスリストがタイムアウトになる前のアイドル時間の間隔（秒単位）。指定できる範囲は 1 ～ 4294967295 です。デフォルト値は 180 秒です。
sequence value	（任意）アクセスリストステートメントのシーケンス番号を指定します。指定できる範囲は 1 ～ 4294967295 です。
time-range name	（任意）許可ステートメントに適用する時間範囲を指定します。時間範囲の名前と制限事項は、 time-range コマンドと、 absolute または periodic コマンドによってそれぞれ指定します。
icmp-type	（任意）ICMP パケットのフィルタリングに ICMP メッセージタイプを指定します。ICMP パケットは ICMP メッセージタイプによってフィルタリングできます。メッセージタイプの番号は 0 ～ 255 です。
icmp-code	（任意）ICMP パケットのフィルタリングに ICMP メッセージコードを指定します。ICMP メッセージタイプによってフィルタリングされる ICMP パケットは、ICMP メッセージコードによってフィルタリングできます。メッセージコードの番号は 0 ～ 255 です。
icmp-message	（任意）ICMP パケットのフィルタリングに ICMP メッセージ名を指定します。ICMP パケットは、ICMP メッセージ名、または ICMP メッセージタイプおよびコードによってフィルタリングできます。使用可能な名前については、「使用上のガイドライン」を参照してください。
ack	（任意）TCP プロトコル専用：ACK ビット設定。
established	（任意）TCP プロトコル専用：これは接続が確立されていることを意味します。TCP データグラムに ACK または RST ビットが設定されている場合、照合が行われます。接続するための初期 TCP データグラムの場合は照合しません。
fin	（任意）TCP プロトコル専用：FIN ビット設定。送信元からのデータはこれ以上ありません。
neq { port \| protocol }	（任意）指定のポート番号上にないパケットのみを照合します。
psh	（任意）TCP プロトコル専用：PSH ビット設定。
range { port \| protocol }	（任意）ポート番号範囲のパケットのみを照合します。
rst	（任意）TCP プロトコル専用：RST ビット設定。
syn	（任意）TCP プロトコル専用：SYN ビット設定。
urg	（任意）TCP プロトコル専用：URG ビット設定。

デフォルト

IPv6 アクセスリストは定義されていません。

コマンドモード

IPv6 アクセスリストコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

permit （IPv6 アクセスリストコンフィギュレーションモード）コマンドは、IPv6 専用である点を除き permit （IPv4 アクセスリストコンフィギュレーションモード）コマンドと類似しています。

IPv6 アクセスリストコンフィギュレーションモードを開始し、パケットがアクセスリストを通過する条件を定義するには、 ipv6 access-list コマンドの後ろに permit （IPv6）コマンドを使用します。

protocol 引数に IPv6 を指定すると、パケットの IPv6 ヘッダーに対して照合を行います。

デフォルトでは、アクセスリストの最初のステートメントは 10 で、その次のステートメントからは 10 ずつ増加します。

IPv6 ACL の定義の詳細については、 ipv6 access-list コマンドを参照してください。

（注）各 IPv6 ACL には最後の一致条件として、暗黙の permit icmp any any nd-na、permit icmp any any nd-ns、および deny ipv6 any any ステートメントがあります。このうち 2 つの permit 条件は、ICMPv6 近隣探索を許可します。ICMPv6 近隣探索を許可しないで icmp any any nd-na または icmp any any nd-ns を拒否するには、明示的な拒否エントリが ACL 内にある必要があります。暗黙的な deny ipv6 any any ステートメントを有効にするには、IPv6 ACL に 1 つまたは複数のエントリを含める必要があります。

IPv6 近隣探索プロセスでは、IPv6 ネットワークレイヤサービスを使用します。したがって、デフォルトでは IPv6 ACL により、IPv6 近隣探索パケットのインターフェイス上での送受信が暗黙に許可されます。IPv4 では、IPv6 近隣探索プロセスと同等のアドレス解決プロトコル（ARP）は、別のデータリンクレイヤプロトコルを使用します。したがってデフォルトでは、IPv4 ACL により、ARP パケットのインターフェイス上での送受信が暗黙に許可されます。

source-ipv6-prefix / prefix-length と destination-ipv6-prefix / prefix-length の両方の引数をトラフィックのフィルタリングに使用します（送信元プレフィクスはトラフィックの送信元に基づいて、宛先プレフィクスはトラフィックの宛先に基づいてトラフィックをフィルタリングします）。

fragments キーワードは、 operator [ port-number ] 引数が指定されていない場合にのみ、任意で指定できます。

次に、ICMP メッセージ名を示します。

beyond-scope	destination-unreachable
echo-reply	echo-request
header	hop-limit
mld-query	mld-reduction
mld-report	nd-na
nd-ns	next-header
no-admin	no-route
packet-too-big	parameter-option
parameter-problem	port-unreachable
reassembly-timeout	renum-command
renum-result	renum-seq-number
router-advertisement	router-renumbering
router-solicitation	time-exceeded
unreachable

例

次の例では、OUTBOUND および INBOUND という名の IPv6 アクセスリスト 2 つを設定し、そのアクセスリストをレイヤ 3 インターフェイス上の発信および着信トラフィックに適用する方法を示します。OUTBOUND リストの最初と 2 番目の許可エントリは、ネットワーク 2001:ODB8:0300:0201::/64 からの TCP および UDP パケットすべてがインターフェイスで送信されるのを許可します。OUTBOUND リストの拒否エントリは、ネットワーク FE80:0:0:0201::/64 でのすべてのパケット（送信元 IPv6 アドレスの最初の 64 ビットとして、リンクローカルプレフィクス FE80:0:0:0201 のあるパケット）がインターフェイスで送信されるのを防ぎます。OUTBOUND リストの 3 番目の許可エントリは、すべての ICMP パケットがインターフェイスで送信されるのを許可します。

INBOUND リストの許可エントリは、すべての ICMP パケットをインターフェイスで受信するのを許可します。

Switch(config)#ipv6 access-list OUTBOUND

Switch(config-ipv6-acl)# permit tcp 2001:0DB8:0300:0201::/64 any

Switch(config-ipv6-acl)# permit udp 2001:0DB8:0300:0201::/64 any

Switch(config-ipv6-acl)# deny FE80:0:0:0201::/64 any

Switch(config-ipv6-acl)# permit icmp any any

Switch(config-ipv6-acl)# exit

Switch(config)#ipv6 access-list INBOUND

Switch(config-ipv6-acl)# permit icmp any any

Switch(config-ipv6-acl)# exit

Switch(config)# interface gigabitethernet1/2

Switch(config-if)# no switchport

Switch(config-if)# ipv6 address 2001::/64 eui-64

Switch(config-if)# ipv6 traffic-filter OUTBOUND out

Switch(config-if)# ipv6 traffic-filter INBOUND in

（注） permit any any ステートメントが OUTBOUND または INBOUND アクセスリストの最後のエントリとして含まれていない場合、TCP、UDP、および ICMP パケットはインターフェイスの双方向（着信および発信）で許可されます（アクセスリストの末尾にある、暗黙の条件によりインターフェイス上のその他のパケットタイプはすべて拒否されます）。

permit (MAC access-list configuration)

条件が一致した場合に非 IP トラフィックの転送を許可するには、 permit MAC アクセスリストコンフィギュレーションコマンドを使用します。許可条件を拡張 MAC アクセスリストから削除するには、このコマンドの no 形式を使用します。

{ permit | deny } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | cos cos | aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo | vines-ip | xns-idp ]

no { permit | deny } { any | host src-MAC-addr | src-MAC-addr mask } { any | host dst-MAC-addr | dst-MAC-addr mask } [ type mask | cos cos | aarp | amber | dec-spanning | decnet-iv | diagnostic | dsm | etype-6000 | etype-8042 | lat | lavc-sca | lsap lsap mask | mop-console | mop-dump | msdos | mumps | netbios | vines-echo |vines-ip | xns-idp ]

（注） appletalk は、コマンドラインのヘルプストリングには表示されますが、一致条件としてはサポートされていません。

シンタックスの説明

any	あらゆる送信元または宛先 MAC アドレスを拒否するために指定するキーワードです。
host src-MAC-addr \| src-MAC-addr mask	ホスト MAC アドレスと任意のサブネットマスクを定義します。パケットの送信元アドレスが定義されたアドレスに一致する場合、そのアドレスからの非 IP トラフィックは拒否されます。
host dst-MAC-addr \| dst-MAC-addr mask	宛先 MAC アドレスと任意のサブネットマスクを定義します。パケットの宛先アドレスが定義されたアドレスに一致する場合、そのアドレスへの非 IP トラフィックは拒否されます。
type mask	（任意）パケットの Ethertype 番号と、Ethernet II または Subnetwork Access Protocol（SNAP）カプセル化を使用して、パケットのプロトコルを識別します。 • type には、0 ～ 65535 の 16 進数を指定できます。 • mask は、マッチングを行う前に Ethertype に適用される don’t care ビットのマスクです。
aarp	（任意）データリンクアドレスをネットワークアドレスにマッピングする Ethertype AppleTalk Address Resolution Protocol を選択します。
amber	（任意）EtherType DEC-Amber を選択します。
cos cos	（任意）プライオリティを設定するため、0 ～ 7 までの任意のサービスクラス（CoS）値を選択します。CoS に基づくフィルタリングは、ハードウェアでのみ実行可能です。 cos オプションが設定されているかどうかを確認する警告メッセージが表示されます。
dec-spanning	（任意）EtherType Digital Equipment Corporation（DEC）スパニングツリーを選択します。
decnet-iv	（任意）EtherType DECnet Phase IV プロトコルを選択します。
diagnostic	（任意）EtherType DEC-Diagnostic を選択します。
dsm	（任意）EtherType DEC-DSM を選択します。
etype-6000	（任意）EtherType 0x6000 を選択します。
etype-8042	（任意）EtherType 0x8042 を選択します。
lat	（任意）EtherType DEC-LAT を選択します。
lavc-sca	（任意）EtherType DEC-LAVC-SCA を選択します。
lsap lsap-number mask	（任意）パケットの LSAP 番号（0 ～ 65535）と 802.2 カプセル化を使用して、パケットのプロトコルを識別します。 mask は、マッチングを行う前に LSAP 番号に適用される don’t care ビットのマスクです。
mop-console	（任意）EtherType DEC-MOP Remote Console を選択します。
mop-dump	（任意）EtherType DEC-MOP Dump を選択します。
msdos	（任意）EtherType DEC-MSDOS を選択します。
mumps	（任意）EtherType DEC-MUMPS を選択します。
netbios	（任意）EtherType DEC-Network Basic Input/Output System（NETBIOS）を選択します。
vines-echo	（任意）Banyan Systems による EtherType Virtual Integrated Network Service（VINES）を選択します。
vines-ip	（任意）EtherType VINES IP を選択します。
xns-idp	（任意）EtherType Xerox Network Systems（XNS）プロトコルスイートを選択します。

IPX トラフィックをフィルタリングするには、使用されている IPX カプセル化のタイプに応じて、 type mask または lsap lsap mask キーワードを使用します。表 2-15 に、Novell 用語と Cisco IOS 用語での IPX カプセル化タイプに対応するフィルタ条件を一覧表示します。

表 2-15 IPX フィルタ基準
IPX カプセル化タイプ		フィルタ基準
Cisco IOS 名	Novell 名	フィルタ基準
arpa	Ethernet II	Ethertype 0x8137
snap	Ethernet-snap	Ethertype 0x8137
sap	Ethernet 802.2	LSAP 0xE0E0
novell-ether	Ethernet 802.3	LSAP 0xFFFF

デフォルト

このコマンドには、デフォルトはありません。ただし、名前付き MAC ACL のデフォルトアクションは拒否です。

コマンドモード

MAC アクセスリストコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

mac access-list extended グローバルコンフィギュレーションコマンドを使用して、MAC アクセスリストコンフィギュレーションモードを開始します。

host キーワードを使用した場合、アドレスマスクは入力できません。 any キーワードまたは host キーワードを使用しない場合は、アドレスマスクを入力する必要があります。

アクセスコントロールエントリ（ACE）がアクセスコントロールリストに追加された場合は、リストの末尾に暗黙的な deny - any - any 条件が存在します。つまり、一致がない場合にはパケットは拒否されます。ただし、最初の ACE が追加される前に、リストはすべてのパケットを許可します。

名前付き MAC 拡張アクセスリストの詳細については、このリリースに対応するソフトウェアコンフィギュレーションガイドを参照してください。

例

次の例では、あらゆる送信元から MAC アドレス 00c0.00a0.03fa への NETBIOS トラフィックを許可する名前付き MAC 拡張アクセスリストを定義する方法を示します。このリストに一致するトラフィックは許可されます。

Switch(config-ext-macl)# permit any host 00c0.00a0.03fa netbios

次の例では、名前付き MAC 拡張アクセスリストから許可条件を削除する方法を示します。

Switch(config-ext-macl)# no permit any 00c0.00a0.03fa 0000.0000.0000 netbios

次の例では、Ethertype 0x4321 のすべてのパケットを許可します。

Switch(config-ext-macl)# permit any any 0x4321 0

設定を確認するには、 show access-lists 特権 EXEC コマンドを入力します。

police

分類したトラフィックにポリサーを定義するには、police ポリシーマップコンフィギュレーションコマンドを使用します。ポリサーは、最大許容伝送速度、最大バースト伝送サイズ、およびいずれかの最大値を超過した場合の対処法を定義します。既存のポリサーを削除するには、このコマンドの no 形式を使用します。

police rate-bps burst-byte [ exceed-action { drop | policed-dscp-transmit }]

no police rate-bps burst-byte [ exceed-action { drop | policed-dscp-transmit }]

シンタックスの説明

rate-bps	平均トラフィック伝送速度をビット/秒（b/s）で指定します。指定できる範囲は 1000000 ～ 1000000000 です。
burst-byte	通常のバーストサイズ（バイト）を指定します。指定できる範囲は 8000 ～ 1000000 です。
exceed-action drop	（任意）指定された伝送速度を超えた場合は、スイッチがパケットをドロップするように指定します。
exceed-action policed-dscp-transmit	（任意）指定された伝送速度を超えた場合、スイッチがパケットの Differentiated Service Code Point（DSCP）をポリシング設定 DSCP マップに指定された値に変え、パケットを送信するように指定します。

デフォルト

ポリサーは定義されません。

コマンドモード

ポリシーマップクラスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

階層ポリシーマップを設定する場合、セカンダリインターフェイスレベルのポリシーマップで使用できるのは police ポリシーマップコマンドだけです。

2 つ以上の物理ポートを制御するポート ASIC デバイスは、256 個のポリサー（255 個のユーザ設定可能なポリサーと 1 個の内部使用向けに予約されたポリサー）をサポートします。ポートごとにサポートされるユーザ設定可能なポリサーの最大数は 63 です。ポリサーはソフトウェアによってオンデマンドで割り振られ、ハードウェアおよび ASIC の限界によって制約されます。ポートごとにポリサーを予約することはできません。ポートがいずれかのポリサーに割り当てるという保証はありません。

例

次の例では、トラフィックがバーストサイズ 20 KB で平均伝送速度 1 Mb/s を超えた場合に、ポリサーがパケットをドロップするように設定する方法を示します。着信パケットの DSCP が信頼され、パケットは変更されません。

Switch(config)# policy-map policy1

Switch(config-pmap)# class class1

Switch(config-pmap-c)# trust dscp

Switch(config-pmap-c)# police 1000000 20000 exceed-action drop

Switch(config-pmap-c)# exit

次の例では、DSCP 値をポリシング設定 DSCP マップに定義された値でマークダウンしてパケットを送信するポリサーを設定する方法を示します。

Switch(config)# policy-map policy2

Switch(config-pmap)# class class2

Switch(config-pmap-c)# police 1000000 20000 exceed-action policed-dscp-transmit

Switch(config-pmap-c)# exit

設定を確認するには、 show policy-map 特権 EXEC コマンドを入力します。

police aggregate

同一のポリシーマップにある複数のクラスにアグリゲートポリサーを適用するには、police aggregate ポリシーマップクラスコンフィギュレーションコマンドを使用します。ポリサーは、最大許容伝送速度、最大バースト伝送サイズ、およびいずれかの最大値を超過した場合の対処法を定義します。指定されたポリサーを削除するには、このコマンドの no 形式を使用します。

police aggregate aggregate-policer-name

no police aggregate aggregate-policer-name

シンタックスの説明

aggregate-policer-name

集約ポリサーの名前です。

デフォルト

集約ポリサーは定義されません。

コマンドモード

ポリシーマップクラスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

2 つ以上の物理ポートを制御するポート ASIC デバイスは、256 個のポリサー（255 個のユーザ設定可能なポリサーと 1 個の内部使用向けに予約されたポリサー）をサポートします。ポートごとにサポートされるユーザ設定可能なポリサーの最大数は 63 です。ポリサーはソフトウェアによってオンデマンドで割り振られ、ハードウェアおよび ASIC の限界によって制約されます。ポートごとにポリサーを予約することはできません。ポートがいずれかのポリサーに割り当てるという保証はありません。

集約ポリサーパラメータを設定するには、mls qos aggregate-policer グローバルコンフィギュレーションコマンドを使用します。集約ポリサーは同じポリシーマップ内の複数のクラスに適用されます。異なるポリシーマップにまたがって集約ポリサーを使用することはできません。

階層ポリシーマップで集約ポリサーを設定することはできません。

例

次の例では、集約ポリサーパラメータを定義する方法と、ポリシーマップ内の複数のクラスにそのポリサーを適用する方法を示します。

Switch(config)# mls qos aggregate-policer agg_policer1 10000 1000000 exceed-action drop

Switch(config)# policy-map policy2

Switch(config-pmap)# class class1

Switch(config-pmap-c)# police aggregate agg_policer1

Switch(config-pmap-c)# exit

Switch(config-pmap)# class class2

Switch(config-pmap-c)# set dscp 10

Switch(config-pmap-c)# police aggregate agg_policer1

Switch(config-pmap-c)# exit

Switch(config-pmap)# class class3

Switch(config-pmap-c)# trust dscp

Switch(config-pmap-c)# police aggregate agg_policer2

Switch(config-pmap-c)# exit

設定を確認するには、 show mls qos aggregate-policer 特権 EXEC コマンドを入力します。

policy-map

複数の物理ポートまたはスイッチ仮想インターフェイス（SVI）に適用可能なポリシーマップを作成または変更し、ポリシーマップコンフィギュレーションモードを開始するには、policy-map グローバルコンフィギュレーションコマンドを使用します。既存のポリシーマップを削除し、グローバルコンフィギュレーションモードに戻るには、このコマンドの no 形式を使用します。

policy-map policy-map-name

no policy-map policy-map-name

シンタックスの説明

policy-map-name

ポリシーマップ名です。

デフォルト

ポリシーマップは定義されません。

デフォルトの動作は、パケットが IP パケットの場合には Differentiated Service Code Point（DSCP）を 0 に設定し、パケットがタグ付きの場合にはサービスクラス（CoS）を 0 に設定します。ポリシングは実行されません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

policy-map コマンドを入力すると、ポリシーマップコンフィギュレーションモードに入り、次のコンフィギュレーションコマンドが使用可能になります。

• class ：指定したクラスマップの分類一致基準を定義します。詳細については、「class」を参照してください。

• description ：ポリシーマップを説明します（最大 200 文字）。

• exit ：ポリシーマップコンフィギュレーションモードを終了し、グローバルコンフィギュレーションモードに戻ります。

• no ：以前定義したポリシーマップを削除します。

• rename ：現在のポリシーマップの名前を変更します。

グローバルコンフィギュレーションモードに戻る場合は、 exit コマンドを使用します。特権 EXEC モードに戻るには、 end コマンドを使用します。

一致基準がクラスマップに定義されているクラスのポリシーを設定する前に、 policy-map コマンドを使用して作成、追加または変更するポリシーマップの名前を指定します。 policy-map コマンドを入力した場合も、ポリシーマップコンフィギュレーションモードがイネーブルになり、このモードでポリシーマップのクラスポリシーを設定または変更することができます。

クラスポリシーをポリシーマップ内で設定できるのは、クラスに一致基準が定義されている場合だけです。クラスの一致基準を設定するには、 class-map グローバルコンフィギュレーションコマンドおよび match クラスマップコンフィギュレーションコマンドを使用します。物理ポート単位でパケット分類を定義します。

1 つの入力ポートまたは SVI では、1 つのポリシーマップだけがサポートされています。同じポリシーマップを複数の物理ポートまたは SVI に適用できます。

非階層ポリシーマップは、物理ポートまたは SVI に適用できます。ただし、階層ポリシーマップを適用できるのは SVI だけです。

階層ポリシーマップには 2 つのレベルがあります。1 つは VLAN レベルで、SVI のトラフィックフローに対して実行するアクションを指定します。もう 1 つはインターフェイスレベルで、インターフェイスレベルのポリシーマップに指定されていて、SVI に属する物理ポートのトラフィックに対して実行するアクションを指定します。

プライマリ VLAN レベルポリシーマップでは、信頼状態の設定、あるいはパケットでの DSCP または IP precedence 値の設定のみが可能です。セカンダリインターフェイスレベルポリシーマップでは、SVI に属する物理ポートの個々のポリサーの設定のみが可能です。

階層ポリシーマップを SVI に適用すると、インターフェイスレベルポリシーマップを変更したり、階層ポリシーマップから削除することはできません。階層ポリシーマップに、新しいインターフェイスレベルポリシーマップを追加することもできません。このような変更を行いたい場合は、まず階層ポリシーマップを SVI から削除する必要があります。

階層ポリシーマップの詳細については、このリリースに対応するソフトウェアコンフィギュレーションガイドで「Configuring QoS」の章の「Policing on SVIs」を参照してください。

例

次の例では、 policy1 という名前のポリシーマップを作成する方法を示します。入力ポートに適用した場合、 class1 で定義されたすべての着信トラフィックのマッチングを行い、IP DSCP を 10 に設定し、平均伝送速度 1 Mb/s、バースト 20 KB のトラフィックをポリシングします。プロファイルを超えるトラフィックは、ポリシング設定 DSCP マップから取得した DSCP 値がマークされてから送信されます。

Switch(config)# policy-map policy1

Switch(config-pmap)# class class1

Switch(config-pmap-c)# set dscp 10

Switch(config-pmap-c)# police 1000000 20000 exceed-action policed-dscp-transmit

Switch(config-pmap-c)# exit

次の例では、ポリシーマップ policymap2 に複数のクラスを設定する方法を示します。

Switch(config)# policy-map policymap2

Switch(config-pmap)# class class1

Switch(config-pmap-c)# set dscp 10

Switch(config-pmap-c)# police 100000 20000 exceed-action policed-dscp-transmit

Switch(config-pmap-c)# exit

Switch(config-pmap)# class class2

Switch(config-pmap-c)# trust dscp

Switch(config-pmap-c)# police 100000 20000 exceed-action drop

Switch(config-pmap-c)# exit

Switch(config-pmap)# class class3

Switch(config-pmap-c)# set dscp 0 (no policer)

Switch(config-pmap-c)# exit

次の例は、階層ポリシーマップを作成し、SVI に適用する方法を示しています。

Switch(config)# class-map cm-non-int

Switch(config-cmap)# match access-group 101

Switch(config-cmap)# exit

Switch(config)# class-map cm-non-int-2

Switch(config-cmap)# match access-group 102

Switch(config-cmap)# exit

Switch(config)# class-map cm-test-int

Switch(config-cmap)# match input-interface gigabitethernet1/2 - gigabitethernet1/2

Switch(config-cmap)# exit

Switch(config)# policy-map pm-test-int

Switch(config-pmap)# class cm-test-int

Switch(config-pmap-c)# police 18000000 8000 exceed-action drop

Switch(config-pmap-c)# exit

Switch(config-pmap)# exit

Switch(config)# policy-map pm-test-pm-2

Switch(config-pmap)# class cm-non-int

Switch(config-pmap-c)# set dscp 7

Switch(config-pmap-c)# service-policy pm-test-int

Switch(config-pmap)# class cm-non-int-2

Switch(config-pmap-c)# set dscp 15

Switch(config-pmap-c)# service-policy pm-test-int

Switch(config-pmap-c)# end

Switch(config-cmap)# exit

Switch(config)# interface vlan 10

Switch(config-if)# service-policy input pm-test-pm-2

次の例では、 policymap2 を削除する方法を示します。

Switch(config)# no policy-map policymap2

設定を確認するには、 show policy-map 特権 EXEC コマンドを入力します。

port-channel load-balance

EtherChannel のポート間で負荷分散方式を設定するには、 port-channel load-balance グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

port-channel load-balance { dst-ip | dst-mac | src-dst-ip | src-dst-mac | src-ip | src-mac }

no port-channel load-balance

シンタックスの説明

dst-ip	宛先ホストの IP アドレスに基づいた負荷分散。
dst-mac	宛先ホストの MAC アドレスに基づいた負荷分散。同一の宛先に対するパケットは同一のポートに送信され、異なる宛先のパケットはチャネルの異なるポートに送信されます。
src-dst-ip	送信元および宛先ホストの IP アドレスに基づいた負荷分散。
src-dst-mac	送信元および宛先ホストの MAC アドレスに基づいた負荷分散。
src-ip	送信元ホストの IP アドレスに基づいた負荷分散。
src-mac	送信元 MAC アドレスに基づいた負荷分散。異なるホストからのパケットは、チャネルで異なるポートを使用し、同一のホストからのパケットは同一のポートを使用します。

デフォルト

デフォルトは、 src-mac です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

これらの転送方式をどのような場合に使用するかについては、このリリースに対応するソフトウェアコンフィギュレーションガイドの「Configuring EtherChannels」の章を参照してください。

例

次の例では、負荷分散方式を dst-mac に設定する方法を示します。

Switch(config)# port-channel load-balance dst-mac

設定を確認するには、 show running-config 特権 EXEC コマンドまたは show etherchannel load-balance 特権 EXEC コマンドを入力します。

power-supply dual

デュアル電源モードを設定するには、power-supply dual グローバルコンフィギュレーションコマンドを使用します。デフォルトのシングル電源モードに戻すには、このコマンドの no 形式を使用します。

power-supply dual

no power-supply dual

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトでは、システムはシングル電源モードで稼動しています。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

スイッチには、DC 電源入力が 2 つ搭載されています。スイッチが 2 つ目の DC 入力に接続されデュアル電源モードに変更された状態で、プライマリ電源で障害が発生すると、2 つ目の電源からスイッチに電力が供給されます。

スイッチがデュアル電源モードの場合、 alarm facility power-supply グローバルコンフィギュレーションコマンドを使用してアラームオプションを設定できます。プライマリ電源の欠落または障害をモニタするには、 show facility-alarm status ユーザ EXEC コマンドを使用します。

例

次の例では、スイッチをデュアル電源モードに設定する方法を示します。

Switch(config)# power-supply dual

priority-queue

ポート上で出力緊急キューをイネーブルにするには、priority-queue インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

priority-queue out

no priority-queue out

シンタックスの説明

out

出力緊急キューをイネーブルにします。

デフォルト

出力緊急キューは、ディセーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

priority-queue out コマンドを設定する場合、シェイプドラウンドロビン（SRR）に参加するキューが 1 つ少ないため、SRR の重み比が影響を受けます。これは、 srr-queue bandwidth shape 内の weight1 または srr-queue bandwidth shape インターフェイスコンフィギュレーションコマンドが無視されることを意味します（比率計算に使用されません）。緊急キューはプライオリティキューであり、他のキューのサービスが提供される前に空になるまでサービスを提供します。

緊急キューがイネーブルにされているとき、または SRR の重みに基づいて出力キューのサービスが提供されるときには、次の注意事項に従ってください。

• 出力緊急キューがイネーブルにされている場合は、キュー 1 に対して SRR のシェーピングおよび共有された重みが無効にされます。

• 出力緊急キューがディセーブルにされており、SRR のシェーピングおよび共有された重みが設定されている場合は、キュー 1 に対して shaped モードは shared モードを無効にし、SRR はこのキューに shaped モードでサービスを提供します。

• 出力緊急キューがディセーブルにされており、SRR のシェーピングされた重みが設定されていない場合は、SRR はキューに対して shared モードでサービスを提供します。

例

次の例では、SRR の重みが設定されている場合、出力緊急キューをイネーブルにする方法を示します。出力緊急キューは、設定された SRR ウェイトを上書きします。

Switch(config)# interface gigabitethernet1/2

Switch(config-if)# srr-queue bandwidth shape 25 0 0 0

Switch(config-if)# srr-queue bandwidth share 30 20 25 25

Switch(config-if)# priority-queue out

次の例では、SRR のシェーピングおよび共有された重みが設定されたあと、出力緊急キューをディセーブルにする方法を示します。シェーピングモードは、共有モードを無効にします。

Switch(config)# interface gigabitethernet1/2

Switch(config-if)# srr-queue bandwidth shape 25 0 0 0

Switch(config-if)# srr-queue bandwidth share 30 20 25 25

Switch(config-if)# no priority-queue out

show mls qos interface interface-id queueing または show running-config 特権 EXEC コマンドを入力すれば、設定を確認することができます。

private-vlan

プライベート VLAN を設定して、プライベート VLAN のプライマリおよびセカンダリ VLAN 間のアソシエーションを設定するには、 private-vlan VLAN コンフィギュレーションコマンドを使用します。通常の VLAN 設定に VLAN を戻すには、このコマンドの no 形式を使用します。

private-vlan { association [ add | remove ] secondary-vlan-list | community | isolated | primary }

no private-vlan { association | community | isolated | primary }

（注）このコマンドは、スイッチが IP サービスイメージを稼動している場合にだけ使用できます。

シンタックスの説明

association	プライマリ VLAN とセカンダリ VLAN とのアソシエーションを作成します。
secondary-vlan-list	プライベート VLAN 内のプライマリ VLAN に関連付ける 1 つまたは複数のセカンダリ VLAN を指定します。
add	セカンダリ VLAN をプライマリ VLAN に関連付けます。
remove	セカンダリ VLAN とプライマリ VLAN とのアソシエーションを消去します。
community	VLAN をコミュニティ VLAN として指定します。
isolated	VLAN をコミュニティ VLAN として指定します。
primary	VLAN をコミュニティ VLAN として指定します。

デフォルト

デフォルトでは、プライベート VLAN が設定されていません。

コマンドモード

VLAN コンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

プライベート VLAN を設定する前に、VLAN トランキングプロトコル（VTP）をディセーブル（VTP 透過モード）にする必要があります。プライベート VLAN を設定したあとで、VTP モードをクライアントまたはサーバに変更できません。

VTP は、プライベート VLAN の設定を伝播しません。レイヤ 2 ネットワーク内のすべてのスイッチにプライベート VLAN を手動で設定して、レイヤ 2 データベースを結合し、プライベート VLAN トラフィックのフラッディングを防ぐ必要があります。

プライベート VLAN には、VLAN 1 または VLAN 1002 ～ 1005 を設定できません。拡張 VLAN（VLAN ID 1006 ～ 4094）はプライベート VLAN に設定できます。

セカンダリ（隔離またはコミュニティ）VLAN を 1 つのプライマリ VLAN だけに 関連付ける ことができます。プライマリ VLAN には、1 つの隔離 VLAN および複数のコミュニティ VLAN を関連付けることができます。

• セカンダリ VLAN をプライマリ VLAN として設定できません。

• secondary_vlan_list パラメータには、スペースを含めないでください。複数のカンマ区切りの項目を含めることができます。各項目として入力できるのは、単一のプライベート VLAN ID またはハイフンで連結したプライベート VLAN ID です。リストには、1 つの隔離 VLAN と複数のコミュニティ VLAN を含めることができます。

• プライマリまたはセカンダリ VLAN のどちらかを削除すると、VLAN に関連付けられたポートが非アクティブになります。

コミュニティ VLAN は、コミュニティポート間、およびコミュニティポートから対応するプライマリ VLAN の混合ポートにトラフィックを伝送します。

隔離 VLAN は、混合ポートと通信を行うために隔離ポートによって使用されます。同一のプライマリ VLAN ドメインで他のコミュニティポートまたは隔離ポートにトラフィックを伝送しません。

プライマリ VLAN は、ゲートウェイからプライベートポートのカスタマーエンドステーションにトラフィックを伝送する VLAN です。

レイヤ 3 VLAN インターフェイス（SVI）はプライマリ VLAN にだけ設定してください。セカンダリ VLAN には、レイヤ 3 VLAN インターフェイスを設定できません。VLAN がセカンダリ VLAN として設定されている間、セカンダリ VLAN の SVI は非アクティブになります。

VLAN コンフィギュレーションモードを終了するまで、 private-vlan コマンドは作用しません。

プライベート VLAN ポートを EtherChannel として設定しないでください。ポートがプライベート VLAN 設定に含まれていると、ポートの EtherChannel 設定が非アクティブになります。

プライベート VLAN を Remote Switched Port Analyzer（RSPAN）VLAN として設定しないでください。

プライベート VLAN を音声 VLAN として設定しないでください。

プライベート VLAN が設定されたスイッチにフォールバックブリッジングを設定しないでください。

プライベート VLAN には複数の VLAN が含まれますが、プライベート VLAN 全体で実行されるのは 1 つの STP インスタンスだけです。セカンダリ VLAN がプライマリ VLAN に関連付けられている場合、プライマリ VLAN の STP パラメータがセカンダリ VLAN に伝播されます。

ホストポートおよび混合ポートの設定については、 switchport mode private-vlan コマンドを参照してください。

プライベート VLAN の他の機能との相互作用に関する詳細については、このリリースに対応するソフトウェアコンフィギュレーションガイドを参照してください。

例

次の例では、VLAN 20 をプライマリ VLAN に、VLAN 501 を隔離 VLAN に、VLAN 502 および 503 をコミュニティ VLAN に設定し、プライベート VLAN に関連付ける方法を示します。

Switch# configure terminal

Switch(config)# vlan 20

Switch(config-vlan)# private-vlan primary

Switch(config-vlan)# exit

Switch(config)# vlan 501

Switch(config-vlan)# private-vlan isolated

Switch(config-vlan)# exit

Switch(config)# vlan 502

Switch(config-vlan)# private-vlan community

Switch(config-vlan)# exit

Switch(config)# vlan 503

Switch(config-vlan)# private-vlan community

Switch(config-vlan)# exit

Switch(config)# vlan 20

Switch(config-vlan)# private-vlan association 501-503

Switch(config-vlan)# end

設定を確認するには、 show vlan private-vlan または show interfaces status 特権 EXEC コマンドを入力します。

private-vlan mapping

プライベート VLAN のプライマリ VLAN とセカンダリ VLAN 間でマッピングを作成して、両方の VLAN で同じプライマリ VLAN スイッチ仮想インターフェイス（SVI）を共有できるようにするには、SVI で private-vlan mapping インターフェイスコンフィギュレーションコマンドを使用します。SVI からプライベート VLAN のマッピングを削除するには、このコマンドの no 形式を使用します。

private-vlan mapping {[ add | remove ] secondary-vlan-list }

no private-vlan mapping

（注）このコマンドは、スイッチが IP サービスイメージを稼動している場合にだけ使用できます。

シンタックスの説明

secondary-vlan-list	プライマリ VLAN SVI にマッピングされる 1 つまたは複数のセカンダリ VLAN を指定します。
add	（任意）セカンダリ VLAN をプライマリ VLAN SVI にマッピングします。
remove	（任意）セカンダリ VLAN とプライマリ VLAN SVI 間のマッピングを削除します。

デフォルト

デフォルトでは、プライベート VLAN SVI のマッピングが設定されていません。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

プライベート VLAN を設定する場合は、スイッチが VTP 透過モードになっている必要があります。

プライマリ VLAN の SVI は、レイヤ 3 で作成されます。

secondary_vlan_list パラメータには、スペースを含めないでください。複数のカンマ区切りの項目を含めることができます。各項目として入力できるのは、単一のプライベート VLAN ID またはハイフンで連結したプライベート VLAN ID です。リストには、1 つの隔離 VLAN と複数のコミュニティ VLAN を含めることができます。

セカンダリ VLAN で受信されたトラフィックは、プライマリ VLAN の SVI によってルーティングされます。

セカンダリ VLAN は、1 つのプライマリ SVI だけにマッピングできます。プライマリ VLAN がセカンダリ VLAN として設定されると、このコマンドで指定されたすべての SVI はダウンします。

有効なレイヤ 2 プライベート VLAN のアソシエーションがない 2 つの VLAN 間のマッピングを設定する場合、マッピングの設定は作用しません。

例

次の例では、VLAN 20 のインターフェイスを VLAN 18 の SVI にマッピングする方法を示します。

Switch# configure terminal

Switch# interface vlan 18

Switch(config-if)# private-vlan mapping 20

Switch(config-vlan)# end

次の例では、セカンダリ VLAN 303 ～ 305、および 307 からのセカンダリ VLAN トラフィックのルーティングを VLAN 20 SVI を介して許可する方法を示します。

Switch# configure terminal

Switch# interface vlan 20

Switch(config-if)# private-vlan mapping 303-305, 307

Switch(config-vlan)# end

設定を確認するには、 show interfaces private-vlan mapping 特権 EXEC コマンドを入力します。

profinet

スイッチを PROFINET IO デバイスとして構成するには、 profinet グローバルコンフィギュレーションコマンドを使用します。PROFINET 機能をディセーブルにするには、このコマンドの no 形式を使用します。

profinet [ id line | vlan vlan id ]

no profinet [ id line | vlan vlan id ]

シンタックスの説明

id line

（任意）Cisco IOS ソフトウェアを使用して、PROFINET デバイス名を設定します。

使用できる文字数は最大 240 文字です。使用できる記号は、ピリオッド（.）とハイフン（-）のみで、ID 文字列の特定の位置でのみ使用できます。PROFINET ID では、文字列内で複数のラベルを使用できます。ラベルはそれぞれ 1 ～ 63 文字で、ラベル間はピリオッド（.）で区切ります。文字列の最後の文字には、0 は使用できません。

PROFINET ID の設定に関する詳細については、PROFINET 仕様、文書番号 TC2-06-0007a、ファイル名 PN-AL-protocol_2722_V22_Oct07 を PROFIBUS から入手してください。

vlan vlan id

（任意）PROFINET で使用する VLAN を指定します。指定できる VLAN ID の範囲は 1 ～ 4094 です。

デフォルト

PROFINET が設定されています。
PROFINET ID は設定されていません。
デフォルトの VLAN 値は 1 です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(52)SE	このコマンドが追加されました。

使用上のガイドライン

通常、PROFINET 設定は、シスココマンドラインインターフェイス（CLI）を使用せずに設定します。PROFINET 管理ソフトウェアでは、レイヤ 2 Discovery and Configuration Protocol（DCP）を使用してスイッチに IP アドレスと PROFINET ID を設定し、デフォルト VLAN 番号を変更します。

例

次の例では、スイッチをPROFINET IO デバイスとして設定する方法を示します。

Switch# configure terminal

Switch(config)# profinet

ptp (global configuration)

Precision Time Protocol（PTP）のクロックプロパティを設定するには、ptp グローバルコンフィギュレーションコマンドを使用します。デフォルトのエンドツーエンドの透過的なクロックモードに戻すには、このコマンドの no 形式を使用します。

ptp { mode { boundary | e2etransparent | forward } | priority1 value | priority2 value }

no ptp { mode | priority1 | priority2 }

シンタックスの説明

mode	クロックモードを設定します。
boundary	スイッチモードを boundary に設定すると、スイッチはベストマスタークロックに参加します。他に適したクロックが検出されない場合は、スイッチはネットワークのグランドマスタークロックになり、接続されたデバイスすべての親クロックになります。クロックに接続されたスイッチがベストマスターとして検出された場合は、スイッチはそのクロックに子として同期し、他のポートに接続されたデバイスの親クロックとして機能します。
e2etransparent	スイッチをエンドツーエンドの透過的なクロックモードに設定します。この場合、スイッチが存在していないかのように、接続されたデバイスが接続されたスイッチに直接親マスタークロックまたはグランドマスタークロックと同期されます。スイッチ自体はベストマスタークロックの選択に参加せず、マスターとも同期しません。これがデフォルトのモードです。
forward	スイッチを forward モードに設定します。このモードで受信 PTP パケットは、通常のマルチキャストトラフィックとしてスイッチを通過します。
priority1 value	ローカルクロックの priority1 値を設定します。priority1 ではベストマスタークロック選択のデフォルト条件（クロック品質、クロッククラスなど）が上書きされます。この場合、正確なクロックより精度の低いクロックがマスタークロックまたはグランドマスターが選択される場合があります。低い値が優先されます。指定できる範囲は 0 ～ 255 です。デフォルト値の優先番号は 128 です。このキーワードは、スイッチが境界モードで稼動している場合にのみ使用できます。
priority2 value	ローカルクロックの priority2 値を設定します。priority2 はデフォルト条件で同等のデバイス 2 つの同点ブレーカーに使用されます。たとえば、priority2 値を使用して同点のスイッチに対して特定のスイッチを優先することができます。ただし、最も正確なクロックが必ず優先されます。指定できる範囲は 0 ～ 255 です。デフォルト値の優先番号は 128 です。このキーワードは、スイッチが境界モードで稼動している場合にのみ使用できます。

デフォルト

デフォルトモードはエンドツーエンドの透過的なクロックモードです。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(46)SE1	このコマンドが追加されました。

使用上のガイドライン

クロック同期によってスイッチやネットワーク上の他のデバイスで同じ時間に基づいてイベントおよびタイムスタンプが使用されます。初回の同期以降、スイッチと接続されたデバイス間でタイミングメッセージを交換して、クロックオフセットとネットワーク遅延によって発生した時刻スキューを修正します。

priority2 を含めたクロックの選択条件がすべて完全に一致している場合、デフォルトの同点ブレーカーはスイッチの MAC アドレスから抽出されたデバイスクロックの ID です。ベストマスタークロック選択は継続して稼動します。デバイスがネットワークに追加されると、デバイスは自身とクロックパラメータをアナウンスします。既存のクロックより最適な場合、このデバイスはマスターになり、他のクロックがこのデバイスと同期します。

ptp priority1 および ptp priority2 コマンドは、スイッチが境界モードの場合にのみ使用できます。

スイッチが PTP フォワードモードの場合、PTP 設定は PTP モードを他のモードに変更する以外設定を変更できません。スイッチがフォワードモードの場合、ポートごとに PTP を設定できません。

スイッチが PTP フォワードモードのときに show ptp clock または show ptp port 特権 EXEC コマンドを入力すると、情報がないというエラーメッセージが生成されます。

例

次の例では、クロックをエンドツーエンドの透過的なモードに設定する方法を示します。

Switch(config)# ptp mode e2etransparent

次の例では、ローカルクロック priority1 値を 55 に設定する方法を示します。

Switch(config)# ptp mode priority1 55

ptp (interface configuration)

ポートの Precision Time Protocol（PTP）タイミング設定を指定するには、ptp インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

ptp { announce { interval value | timeout value } | delay-req interval value | enable | sync { interval value | limit value }}

no ptp { announce { interval value | timeout value } | delay-req interval value | enable | sync { interval value | limit value }}

タイミング設定は、スイッチが境界モードの場合にのみ使用できます。

シンタックスの説明

announce interval value	アナウンスメッセージの送信ログ平均間隔を設定します。指定できる範囲は 0 ～ 4 です。デフォルト値は 1（2 秒）です。
announce timeout value	タイムアウトメッセージをアナウンスする時間を設定します。指定できる範囲は 2 ～ 10 秒です。デフォルト値は 3（8 秒）です。
delay-req interval value	遅延要求メッセージの送信ログ平均間隔を設定します。指定できる範囲は -1 ～ 6 秒です。デフォルト値は 5（32 秒）です。
enable	ポート上で PTP をイネーブルにします。
sync interval value	同期メッセージの送信ログ平均間隔を設定します。指定できる範囲は -1 ～ 1 秒です。デフォルト値は 1 秒です。
sync limit value	クロック同期が失敗するまでのマスタークロックの最大オフセット値を設定します。指定できる範囲は 50 ～ 500000000 ナノ秒です。デフォルト値は 500000000 ナノ秒です。

デフォルト

PTP はイネーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(46)SE1	このコマンドが追加されました。

使用上のガイドライン

ptp announce interval および ptp sync interval コマンドはポートでマスターステートが開始された場合にのみ適用されます。

アナウンスメッセージ間隔は PTP ネットワーク全体で同じである必要があります。

例

次の例では、GigabitEthernet ポート 1 でアナウンスメッセージ送信間隔の値を 3 に設定する方法を示します。

Switch(config)# interface gi1/1

Switch(config-if)# ptp announce interval 3

queue-set

ポートをキューセットにマッピングするには、 queue-set インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

queue-set qset-id

no queue-set qset-id

シンタックスの説明

qset-id

キューセットの ID です。各ポートはキューセットに属し、ポート単位で出力キュー 4 つの特性すべてを定義します。指定できる範囲は 1 ～ 2 です。

デフォルト

キューセット ID は 1 です。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

例

次の例では、ポートをキューセット 2 にマッピングする方法を示します。

Switch(config)# interface gigabitethernet1/2

Switch(config-if)# queue-set 2

設定を確認するには、 show mls qos interface [ interface-id ] buffers 特権 EXEC コマンドを入力します。

radius-server dead-criteria

RADIUS サーバが使用不可または デッド状態 であると判断する条件を設定するには、 radius-server dead-criteria グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

radius-server dead-criteria [ time seconds [ tries number ] | tries number ]

no radius-server dead-criteria [ time seconds [ tries number ] | tries number ]

シンタックスの説明

time seconds	（任意）RADIUS サーバからの有効な応答をスイッチが取得するのに必要としない時間（秒）を設定します。指定できる範囲は 1 ～ 120 秒です。
tries number	（任意）サーバが使用不可と見なされる前に RADIUS サーバから有効な応答をスイッチが取得するのに必要としない回数を指定します。指定できる範囲は 1 ～ 100 です。

デフォルト

スイッチは、10 ～ 60 秒の seconds 値を動的に決定します。

スイッチは、10 ～ 100 の tries 値を動的に決定します。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

次の seconds および number パラメータを設定することを推奨します。

• IEEE 802.1x 認証が期限切れになる前に RADIUS サーバへの応答を待機する時間（秒）を指定するには、 radius-server timeout seconds グローバルコンフィギュレーションコマンドを使用します。スイッチは、10 ～ 60 秒のデフォルトの seconds 値を動的に決定します。

• RADIUS サーバが使用不能と見なされる前に RADIUS サーバへの送信を試行する時間（秒）を指定するには、 radius-server retransmit retries グローバルコンフィギュレーションコマンドを使用します。スイッチは、10 ～ 100 のデフォルトの tries 値を動的に決定します。

• seconds パラメータは、IEEE 802.1x 認証が期限切れになる前に再送信を試行する秒数以下です。

• tries パラメータは、再送信試行回数と同じである必要があります。

例

次の例では、RADIUS サーバが使用不可と見なされた場合に決定する条件として、 time に 60 を設定し、 tries の回数に 10 を設定する方法を示します。

Switch(config)# radius-server dead-criteria time 60 tries 10

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

radius-server host

RADIUS アカウンティングおよび RADIUS 認証を含む RADIUS サーバのパラメータを設定するには、 radius-server host グローバルコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

radius-server host ip-address [acct-port udp-port ] [ auth-port udp-port ] [ test username name [ idle-time time ] [ ignore-acct-port ] [ ignore-auth-port ]] [ key string ]

no radius-server host ip-address

シンタックスの説明

ip-address	RADIUS サーバの IP アドレスを指定します。
acct-port udp-port	（任意）RADIUS アカウンティングサーバの UDP ポートを指定します。指定できる範囲は 0 ～ 65536 です。
auth-port udp-port	（任意）RADIUS 認証サーバの UDP ポートを指定します。指定できる範囲は 0 ～ 65536 です。
test username name	（任意）RADIUS サーバステータスの自動サーバテストをイネーブルにし、使用されるユーザ名を指定します。
idle-time time	（任意）スイッチがテストパケットをサーバに送信したあとの間隔（分）を設定します。指定できる範囲は 1 ～ 35791 分です。
ignore-acct-port	（任意）RADIUS サーバアカウンティングポートのテストをディセーブルにします。
ignore-auth-port	（任意）RADIUS サーバ認証ポートのテストをディセーブルにします。
key string	（任意）スイッチおよび RADIUS デーモン間のすべての RADIUS コミュニケーションの認証鍵および暗号鍵を指定します。key は文字列であり、RADIUS サーバで使用されている暗号化キーと一致する必要があります。必ずこのコマンドの最終項目として key を設定してください。先頭のスペースは無視されますが、key の中間および末尾のスペースは使用されます。key にスペースが含まれる場合は、引用符が key の一部でない限り、key を引用符で囲まないでください。

デフォルト

RADIUS アカウンティングサーバの UDP ポートは 1646 です。

RADIUS 認証サーバの UDP ポートは 1645 です。

自動サーバテストはディセーブルです。

アイドル時間は 60 分（1 時間）です。

自動テストがイネーブルの場合、UDP ポートのアカウンティングおよび認証時にテストが実行されます。

認証鍵および暗号鍵（ string ）は設定されていません。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

RADIUS アカウンティングサーバおよび RADIUS 認証サーバの UDP ポートをデフォルト以外の値に設定することを推奨します。

RADIUS サーバステータスの自動サーバテストをイネーブルにし、使用されるユーザ名を指定するには、 test username name キーワードを使用します。

radius-server host ip-address key string または radius-server key { 0 string | 7 string | string } グローバルコンフィギュレーションコマンドを使用して認証鍵および暗号鍵を設定できます。必ずこのコマンドの最終項目として key を設定してください。

例

次の例では、アカウンティングサーバの UDP ポートを 1500、認証サーバの UDP ポートを 1510 に設定する例を示します。

Switch(config)# radius-server host 1.1.1.1 acct-port 1500 auth-port 1510

次の例では、アカウンティングサーバおよび認証サーバの UDP ポートを設定し、RADIUS サーバステータスの自動テストをイネーブルにし、使用されるユーザ名を指定し、キーストリングを設定する例を示します。

Switch(config)# radius-server host 1.1.1.2 acct-port 800 auth-port 900 test username aaafail idle-time 75 key abc123

設定を確認するには、 show running-config 特権 EXEC コマンドを入力します。

rcommand

Telnet セッションを開始し、クラスタコマンドスイッチからクラスタメンバースイッチのコマンドを実行するには、クラスタコマンドスイッチで rcommand ユーザ EXEC コマンドを使用します。セッションを終了するには、 exit コマンドを入力します。

rcommand { n | commander | mac-address hw-addr }

シンタックスの説明

n	クラスタメンバーを識別する番号を提供します。指定できる範囲は 0 ～ 15 です。
commander	クラスタメンバースイッチからクラスタコマンドスイッチへアクセスできるようにします。
mac-address hw-addr	クラスタメンバースイッチの MAC アドレス

コマンドモード

ユーザ EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

このコマンドは、クラスタコマンドスイッチ上でのみ使用できます。

スイッチがクラスタコマンドスイッチで、クラスタメンバースイッチ n が存在していない場合、エラーメッセージが表示されます。スイッチ番号を得るには、クラスタコマンドスイッチで show cluster members 特権 EXEC コマンドを入力します。

このコマンドを使用してクラスタコマンドスイッチプロンプトからクラスタメンバースイッチにアクセスしたり、メンバースイッチプロンプトからクラスタコマンドスイッチにアクセスしたりすることができます。

Catalyst 2900 XL、Catalyst 3500 XL、Catalyst 2950、Catalyst 2960、Catalyst 2970、Catalyst 3550、Catalyst 3560、および Catalyst 3750 スイッチの場合、Telnet セッションは、クラスタコマンドスイッチと同じ権限レベルでメンバースイッチ CLI（コマンドラインインターフェイス）にアクセスします。たとえば、このコマンドをクラスタコマンドスイッチからユーザレベルで入力した場合、メンバースイッチはユーザレベルでアクセスされます。このコマンドをクラスタコマンドスイッチからイネーブルレベルで使用した場合、コマンドはイネーブルレベルでリモートデバイスにアクセスします。 権限レベル よりも低い中間イネーブルレベルを使用した場合、クラスタメンバースイッチはユーザレベルとなります。

Standard Edition ソフトウェアが稼動している Catalyst 1900 および Catalyst 2820 スイッチの場合、クラスタコマンドスイッチの権限レベルが 15 であれば、Telnet セッションはメニューコンソール（メニュー方式インターフェイス）にアクセスします。クラスタコマンドスイッチの権限レベルが 1 であれば、パスワードの入力を要求するプロンプトが表示され、入力後にメニューコンソールにアクセスできます。クラスタコマンドスイッチの権限レベルは、Standard Edition ソフトウェアが稼動しているクラスタメンバースイッチに次のようにマッピングします。

• クラスタコマンドスイッチの権限レベルが 1 ～ 14 である場合、クラスタメンバースイッチへのアクセスは権限レベル 1 で行われます。

• クラスタコマンドスイッチの権限レベルが 15 である場合、クラスタメンバースイッチへのアクセスは権限レベル 15 で行われます。

Catalyst 1900 および Catalyst 2820 の CLI が使用できるのは、スイッチで Enterprise Edition ソフトウェアが稼動している場合に限られます。

クラスタコマンドスイッチの vty ラインにアクセスクラスコンフィギュレーションがある場合、このコマンドは機能しません。

クラスタメンバースイッチはクラスタコマンドスイッチのパスワードを継承するため、クラスタメンバースイッチがクラスタに加入してもパスワードを要求するプロンプトは表示されません。

例

次の例では、メンバー 3 でセッションを開始する方法を示します。 exit コマンドを入力するか、またはセッションを閉じるまで、このコマンドに続くすべてのコマンドは、メンバー 3 へ向けられます。

Switch# rcommand 3

Switch-3# show version

Cisco Internet Operating System Software ...

...

Switch-3# exit

Switch#

remote-span

VLAN を Remote Switched Port Analyzer（RSPAN）VLAN として設定するには、remote-span VLAN コンフィギュレーションコマンドを使用します。RSPAN 指定を VLAN から削除するには、このコマンドの no 形式を使用します。

remote-span

no remote-span

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

RSPAN VLAN は定義されません。

コマンドモード

VLAN コンフィギュレーション（config-VLAN）

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

RSPAN VLAN を設定できるのは config-VLAN モードの場合だけです（このモードは、 vlan グローバルコンフィギュレーションコマンドで開始します）。 vlan database 特権 EXEC コマンドを使用して開始された VLAN コンフィギュレーションモードでは設定できません。

VLAN トランキングプロトコル（VTP）がイネーブルで、VLAN ID が 1005 未満の場合、RSPAN 機能は VTP によって伝達されます。RSPAN VLAN ID が拡張範囲内の場合は、手動で中間スイッチを設定する必要があります（送信元スイッチと宛先スイッチの間の RSPAN VLAN 内に設定）。

RSPAN remote-span コマンドを設定する前に、 vlan （グローバルコンフィギュレーション）コマンドで VLAN を作成してください。

RSPAN VLAN には、次の特性があります。

• MAC アドレスラーニングは実行されません。

• トランクポートでは RSPAN VLAN トラフィックのみが流れます。

• Spanning-Tree Protocol（STP; スパニングツリープロトコル）は RSPAN VLAN 内では稼動できますが、RSPAN 宛先ポートでは稼動しません。

既存の VLAN が RSPAN VLAN として設定されている場合は、その VLAN が最初に削除され、RSPAN VLAN として再作成されます。アクセスポートは、RSPAN 機能がディセーブルになるまでは非アクティブです。

例

次の例では、RSPAN VLAN として VLAN を設定する方法を示します。

Switch(config)# vlan 901

Switch(config-vlan)# remote-span

次の例では、VLAN から RSPAN 機能を削除する方法を示します。

Switch(config)# vlan 901

Switch(config-vlan)# no remote-span

show vlan remote-span ユーザ EXEC コマンドを入力すると、設定を確認できます。

renew ip dhcp snooping database

DHCP スヌーピングバインディングデータベースを更新するには、 renew ip dhcp snooping database 特権 EXEC コマンドを使用します。

renew ip dhcp snooping database [{ flash :/filename | ftp: //user:password@host/filename | nvram: /filename | rcp: //user@host/filename | tftp: //host/filename }] [ validation none ]

シンタックスの説明

flash:/ filename	（任意）データベースエージェントまたはバインディングファイルがフラッシュメモリにあることを指定します。
ftp:// user : password @ host / filename	（任意）データベースエージェントまたはバインディングファイルが FTP（ファイル転送プロトコル）サーバにあることを指定します。
nvram:/ filename	（任意）データベースエージェントまたはバインディングファイルが NVRAM（不揮発性 RAM）にあることを指定します。
rcp:// user @ host / filename	（任意）データベースエージェントまたはバインディングファイルが Remote Control Protocol（RCP）サーバにあることを指定します。
tftp:// host / filename	（任意）データベースエージェントまたはバインディングファイルが TFTP（簡易ファイル転送プロトコル）サーバにあることを指定します。
validation none	（任意）URL によって指定されたバインディングファイルのエントリに対して、Cyclic Redundancy Check（CRC; 巡回冗長検査）を検証しないようにスイッチに指定します。

デフォルト

デフォルトは定義されていません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(44)EX	このコマンドが追加されました。

使用上のガイドライン

URL を指定しない場合は、スイッチは設定された URL からファイルを読み込もうとします。

例

次の例では、ファイル内の CRC 値のチェックを省略して、DHCP スヌーピングバインディングデータベースを更新する方法を示します。

Switch# renew ip dhcp snooping database validation none

設定を確認するには、 show ip dhcp snooping database 特権 EXEC コマンドを入力します。

rep admin vlan

Resilient Ethernet Protocol（REP）で Hardware Flood Layer（HFL）メッセージを送信するように REP 管理 VLAN を設定するには、 rep admin vlan グローバルコンフィギュレーションコマンドを使用します。管理 VLAN がVLAN 1 であるデフォルトの設定に戻すには、このコマンドの no 形式を使用します。

rep admin vlan vlan-id

no rep admin vlan

シンタックスの説明

vlan-id

指定できる VLAN ID 範囲は 1 ～ 4094 です。デフォルトは VLAN 1 です。設定できる範囲は 2 ～ 4094 です

デフォルト

管理 VLAN は VLAN 1 です。

コマンドモード

グローバルコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

既存の VLAN がない場合、このコマンドで VLAN は作成されません。

ソフトウェアでリンク障害用のメッセージをリレーするまたはロードバランシング時の VLAN ブロック通知によって発生する遅延を防止するため、REP では通常のマルチキャストアドレスの Hardware Flood Layer（HFL）でハードウェアパケットをフラッディングします。このメッセージは REP セグメントだけではなく、ネットワーク全体でフラッディングされます。セグメントに属さないスイッチでは、メッセージはデータトラフィックとして扱われます。ドメイン全体の管理 VLAN を設定すると、メッセージのフラッディングを制御できます。

REP 管理 VLAN が設定されない場合、デフォルトは VLAN 1 が設定されます。

スイッチとセグメントに割り当てられる管理 VLAN は 1 つのみです。

管理 VLAN には RSPAN VLAN を指定できません。

例

次の例では、VLAN 100 を REP 管理 VLAN として設定する方法を示します。

Switch (config)# rep admin vlan 100

設定を確認するには、 show interface rep detail 特権 EXEC コマンドを入力します。

rep block port

Resilient Ethernet Protocol（REP）VLAN ロードバランシングを設定するには、REP プライマリエッジポートで rep block port インターフェイスコンフィギュレーションコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

rep block port { id port-id | neighbor_offset | preferred } vlan { vlan-list | all }

no rep block port {id port-id | neighbor_offset | preferred }

シンタックスの説明

id port-id	REP をイネーブルにすると自動的に生成される一意のポート ID を入力して VLAN ブロッキング代替ポートを指定します。REP ポート ID は 16 文字の 16 進整数値です。インターフェイスのポート ID を確認するには show interface interface-id rep detail コマンドを入力します。
neighbor_offset	ネイバーのオフセット番号を入力して、VLAN ブロッキング代替ポートを指定します。値の範囲は -256 ～ +256 です。0 は無効な値です。プライマリエッジポートのオフセット番号は 1 です。1 より大きい正の値はプライマリエッジポートのダウンストリームネイバーを示します。負の値はセカンダリエッジポート（オフセット番号 -1）およびそのダウンストリームネイバーを示します。
preferred	rep segment segment-id preferred インターフェイスコンフィギュレーションコマンドで指定したポートの VLAN ブロッキング代替ポートをセグメントポートとして指定します。キーワードを入力しても確実に代替ポートは指定されませんが、他の類似のポートより優先されます。
vlan	ブロックされる VLAN を指定します。
vlan-list	ブロックする 1 ～ 4094 の VLAN ID または VLAN の範囲またはシーケンス（1-3, 22, 41-44 など）を入力します。
all	指定すると VLAN すべてがブロックされます。

デフォルト

rep preempt segment 特権 EXEC コマンド（手動プリエンプション）を入力した場合のデフォルトのアクションは、プライマリエッジポートで VLAN すべてがブロックされます。この動作は rep block port コマンドを設定するまで継続されます。

プライマリエッジポートで代替ポートを判別できない場合は、デフォルトのアクションはプリエンプションなし、および VLAN ロードバランシングなしです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

このコマンドは REP プライマリエッジポートに入力してください。

オフセット番号を入力して代替ポートを選択すると、入力した番号によってエッジポートのダウンストリームネイバーが指定されます。プライマリエッジポートのオフセット番号は 1 です。1 より大きい正の値はプライマリエッジポートのダウンストリームネイバーを示します。負の値はセカンダリエッジポート（オフセット番号 -1）およびそのダウンストリームネイバーを示します。REP セグメントのネイバーオフセット番号図 2-1 を参照してください。

図 2-1 REP セグメントのネイバーオフセット番号

（注）オフセット番号 1 はプライマリエッジポート自体を示すため、指定できません。

rep preempt delay seconds インターフェイスコンフィギュレーションコマンドを入力してプリエンプト遅延時間を指定し、リンクの障害および回復が発生すると、もう 1 度リンク障害が発生しなければ設定されたプリエンプション時間の経過後 VLAN ロードバランシングが開始されます。ロードバランシング設定で指定された代替ポートによって指定された VLAN をブロックし、その他すべてのセグメントポートはブロックされません。VLAN バランシングの代替ポートをプライマリエッジポートで判別できない場合、デフォルトのアクションはプリエンプションなしです。

セグメント内のポートそれぞれには一意のポート ID が割り当てられています。ポート ID の形式はスパニングツリーアルゴリズムで使用されているものに類似しています。MAC アドレス（ネットワークで一意）はポート番号（ブリッジで一意）関連付けられています。ポートのポート ID を確認するには、 show interface interface-id rep detail 特権 EXEC コマンドを入力します。

例

次の例では、スイッチ B プライマリエッジポート（ギガビットイーサネットポート 1）の REP VLAN ロードバランシングを設定して、スイッチ A のギガビットイーサネットポート 2 を代替ポートとして設定して VLAN 1 ～ 100 をブロックする方法を示します。代替ポートはポート ID によって指定されます。スイッチ A ポートの show interface rep detail コマンドの出力で太文字で表示されます。

Switch A# show interface gigabitethernet1/2 rep detail

GigabitEthernet1/2 REP enabled

Segment-id: 2 (Segment)

PortID: 0080001647FB1780

Preferred flag: No

Operational Link Status: TWO_WAY

Current Key: 007F001647FB17800EEE

Port Role: Open

Blocked Vlan: <empty>

Admin-vlan: 1

Preempt Delay Timer: 35 sec

Load-balancing block port: none

Load-balancing block vlan: none

STCN Propagate to:

PDU/TLV statistics:

LSL PDU rx: 107122, tx: 192493

Switch B# config t

Switch (config)# interface gigabitethernet1/1

Switch (config-if)# rep block port id 0080001647FB1780 vlan 1-100

Switch (config-if)# exit

次の例では、ネイバーオフセット番号を使用して VLAN ロードバランシングを設定する方法を示します。また、 show interfaces rep detail 特権 EXEC コマンドを入力して設定を確認する方法も示します。

Switch# config t

Switch (config)# interface gigabitethernet1/2

Switch (config-if)# rep block port 6 vlan 1-110

Switch (config-if)# end

Switch# show interface gigabitethernet1/2 rep detail

GigabitEthernet1/2 REP enabled

Segment-id: 2 (Segment)

PortID: 0080001647FB1780

Preferred flag: No

Operational Link Status: TWO_WAY

Current Key: 007F001647FB178009C3

Port Role: Open

Blocked Vlan: <empty>

Admin-vlan: 3

Preempt Delay Timer: 35 sec

Load-balancing block port: 6

Load-balancing block vlan: 1-110

STCN Propagate to: none

LSL PDU rx: 1466780, tx: 3056637

HFL PDU rx: 2, tx: 0

BPA TLV rx: 1, tx: 2119695

BPA (STCN, LSL) TLV rx: 0, tx: 0

BPA (STCN, HFL) TLV rx: 0, tx: 0

EPA-ELECTION TLV rx: 757406, tx: 757400

EPA-COMMAND TLV rx: 1, tx: 1

EPA-INFO TLV rx: 178326, tx: 178323

rep lsl-age-timer

REP インターフェイスが REP ネイバーから hello を受信せずに起動し続ける時間の Link Status Layer（LSL）エージングタイマーを設定するには、Resilient Ethernet Protocol（REP）ポートで rep lsl-age-timer インターフェイスコンフィギュレーションコマンドを使用します。デフォルト時間に戻すには、このコマンドの no 形式を使用します。

rep lsl-age timer value

no rep lsl-age timer

シンタックスの説明

value

期限切れ時間をミリ秒で指定します。指定できる範囲は 120 ms ～ 10000 ms で、40 ms ずつ増加します。デフォルト値は 5000 ms（5 秒）です。

デフォルト

5000 ms 以内にネイバーから hello メッセージを受信しないと、REP リンクは切断されます。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

LSL hello タイマーはエージングタイマー値を 3 で割った値が設定されます。したがって、LSL エージングタイマー時間以内に最低 2 回 LSL hello を受信することになります。指定した時間内に hello メッセージを受信しないと、REP リンクは切断されます。

500-ms ずつ増加して 3000 ～ 10000 ms で指定されていた LSL エージングタイマー範囲は Cisco IOS Release 12.2（52）SE では、40-ms ずつ増加して 120 ～ 10000 ms で指定できるようになりました。REP ネイバーデバイスが Cisco IOS Release 12.2（52）SE 以降で実行されていない場合、デバイスでは旧式の範囲外の値は受け入れられないため、少ない範囲で指定してください。

EtherChannel ポートチャネルのインターフェイスでは、1000 ms 未満の LSL エージングタイマー値はサポートされません。ポートチャネルに 1000 ms 未満の値を指定すると、エラーメッセージが表示され、コマンドは拒否されます。

例

次の例では、REP リンクで REP LSL エージングタイマーを 7000 ms に設定する方法を示します。

Switch (config)# interface gigabitethernet1/2

Switch (config-if)# rep lsl-age-timer 7000

Switch (config-if)# exit

設定された期限切れ時間を確認するには、 show interfaces rep detail 特権 EXEC コマンドを入力します。

rep preempt delay

セグメントポートの障害および回復の発生後 Resilient Ethernet Protocol（REP）VLAN ロードバランシングがトリガーされるまでの待機時間を設定するには、REP プライマリエッジポートで rep preempt delay インターフェイスコンフィギュレーションコマンドを使用します。設定された遅延を削除するには、このコマンドの no 形式を使用します。

rep preempt delay seconds

no rep preempt delay

シンタックスの説明

seconds

REP プリエンプションを遅延する値を秒単位で設定します。指定できる範囲は 15 ～ 300 です。

デフォルト

プリエンプションの遅延は設定されていません。 rep preempt delay コマンドを入力しない場合、デフォルトは遅延なしの手動プリエンプションです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

このコマンドは REP プライマリエッジポートに入力してください。

リンク障害および回復後に VLAN ロードバランシングを自動的にトリガーするには、このコマンドを入力してプリエンプト時間の遅延を設定します。

VLAN ロードバランシングが設定されていると、セグメントポートの障害および回復後に、VLAN ロードバランシングが実行されるまで REP プライマリエッジポートで遅延タイマーが開始されます。タイマーは、リンク障害が発生するたびに再度開始されます。タイマーの期限が切れると、REP プライマリエッジによって代替ポートに VLAN ロードバランシングを実行するアラートが送信され（ rep block port インターフェイスコンフィギュレーションコマンドを使用して設定）、セグメントで新しいトポロジを準備します。設定された VLAN リストは代替ポートでブロックされ、その他すべての VLAN はプライマリエッジポートでブロックされます。

例

次の例では、プライマリエッジポートで REP プリエンプション時間遅延を 100 秒に設定する方法を示します。

Switch (config)# interface gigabitethernet1/1

Switch (config-if)# rep preempt delay 100

Switch (config-if)# exit

設定を確認するには、 show interfaces rep 特権 EXEC コマンドを入力します。

rep preempt segment

セグメントで Resilient Ethernet Protocol（REP）VLAN ロードバランシングを手動で開始するには、 rep preempt segment 特権 EXEC コマンドを使用します。

rep preempt segment segment_id

シンタックスの説明

segment-id

REP セグメントの ID です。指定できる範囲は 1 ～ 1024 です。

デフォルト

デフォルト動作は手動プリエンプションです。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

rep preempt segment segment-id コマンドを入力すると、プリエンプションによってネットワークが中断される可能性があるため、コマンドが実行される前に確認メッセージが表示されます。

プライマリエッジポートの存在するセグメントのスイッチにこのコマンドを入力します。

VLAN ロードバランシングを設定しない場合にこのコマンドを入力すると、デフォルト動作（プライマリエッジポートによって VLAN すべてをブロック）が実行されます。

VLAN ロードバランシングを設定するには、手動でプリエンプションを開始する前に REP プライマリエッジポートに rep block port { id port-id | neighbor_offset | preferred } vlan { vlan-list | all } インターフェイスコンフィギュレーションコマンドを入力します。

このコマンドには、 no 形式はありません。

例

次の例では、セグメント 100 で REP プリエンプションを手動でトリガーして、確認メッセージを表示する方法を示します。

Switch)# rep preempt segment 100

The command will cause a momentary traffic disruption.

Do you still want to continue?[confirm]

rep segment

インターフェイスで Resilient Ethernet Protocol（REP）をイネーブルにして、セグメント ID を割り当てるには、 rep segment インターフェイスコンフィギュレーションコマンドを使用します。インターフェイスで REP をディセーブルにするには、このコマンドの no 形式を使用します。

rep segment segment-id [ edge [ no-neighbor ] [ primary ]] [ preferred ]

no rep segment

シンタックスの説明

segment-id	インターフェイスにセグメント ID を割り当てます。指定できる範囲は 1 ～ 1024 です。
edge	（任意）インターフェイスを 2 つの REP エッジポートの 1 つに指定ます。 primary キーワードを入力せずに edge キーワードを入力すると、ポートはセカンダリエッジポートに設定されます。
no-neighbor	（任意）セグメントエッジを外部 REP ネイバーなしで設定します。
primary	（任意）エッジポートで、ポートをプライマリエッジポートに指定します。セグメントのプライマリエッジポートは 1 つのみです。セグメント内でポートを 2 つプライマリエッジポートに設定すると（異なるスイッチのポートなど）、REP によっていずれかがセグメントプライマリエッジポートとして選択されます。
preferred	（任意）ポートを優先代替ポートに指定するか、または VLAN ロードバランシングに優先されます。（注）ポートを優先に設定しても、代替ポートに指定されない場合があります。同等の競合が存在する場合に若干優先されます。代替ポートには通常、前回障害が発生したポートが指定されます。

デフォルト

REP はインターフェイスでディセーブルです。

インターフェイスで REP がディセーブルの場合、デフォルトでポートは標準のセグメントポートに指定されます。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

REP ポートにはレイヤ 2 トランクポートを指定します。

また、次のポートタイプは設定できません。

• SPAN 宛先ポート

• プライベート VLAN ポート

• トンネルポート

• アクセスポート

REP セグメントそれぞれには、プライマリエッジポートとセカンダリエッジポートの 2 つのエッジポートを設定してください。セグメント内でポートを 2 つプライマリエッジポートに設定すると（異なるスイッチのポートなど）、設定できますが、REP によっていずれかがセグメントプライマリエッジポートとして選択されます。

• REP ポートは次のルールに従います。

– スイッチに設定できる REP ポートの制限はありませんが、同じ REP セグメントに属することができるスイッチは 2 つのみです。

– セグメントに設定されているスイッチが 1 つのみの場合は、ポートをエッジポートに指定します。

– 同じセグメント内に属するスイッチのポートが 2 つ存在する場合は、両方をエッジポートまたは通常のセグメントに指定するか、1 つを通常のポート、もう 1 つをエッジ、ネイバーなしポートに指定します。エッジポートとスイッチの通常のセグメントポートは同じセグメント内に指定できません。

– 同じセグメント内に属するスイッチの 2 つのポートが 1 つはエッジポート、もう 1つが通常のセグメントポートに設定されている場合（設定ミス）、エッジポートは通常のセグメントポートとして扱われます。

セグメント内でポートを 2 つプライマリエッジポートに設定すると（異なるスイッチのポートなど）、REP によっていずれかがセグメントプライマリエッジポートとして選択されます。セグメントプライマリエッジポートに設定されたポートを確認するには、セグメントのポートで show rep topology 特権 EXEC コマンドを入力します。

REP インターフェイスはブロックステートとして表示され、ブロック解除しても安全であると通知されるまで、ブロックステートが継続されます。突然通信が切断されることがないように、このことを認識してください。

REP は冗長性のあるネットワークでのみ設定してください。冗長性のないネットワークで REP を設定すると、通信が切断される可能性があります。

ネイバースイッチのポートで REP がサポートされていないネットワークでは、非 REP 側ポートをエッジ、ネイバーなしポートとして設定できます。このポートでは、エッジポートのプロパティをすべて継承し、アグリゲーションスイッチへの STP または REP トポロジ変更通知の送信を含むその他のエッジポートとして設定できます。この場合、送信される STP Topology Change Notice（TCN;トポロジ変更通知）は、Multiple Spanning-Tree（MST）STP メッセージとして送信されます。

例

次の例では、通常の（非エッジ）セグメントポートで REP をイネーブルにする方法を示します。

Switch (config)# interface gigabitethernet1/1

Switch (config-if)# rep segment 100

次の例では、ポートの REP をイネーブルし、REP プライマリエッジポートとして指定にする方法を示します。

Switch (config)# interface gigabitethernet1/2

Switch (config-if)# rep segment 100 edge primary

次の例では、インターフェイスに外部 REP ネイバーが存在しない場合に同じ設定を設定する方法を示します。

Switch# configure terminal

Switch (conf)# interface gigabitethernet1/1

Switch (conf-if)# rep segment 100 edge no-neighbor primary

次の例では、ポートの REP をイネーブルし、REP セカンダリエッジポートとして指定にする方法を示します。

Switch (config)# interface gigabitethernet1/2

Switch (config-if)# rep segment 100 edge

設定を確認するには、 show interfaces rep 特権 EXEC コマンドを入力します。セグメントのプライマリエッジポートを確認するには、 show rep topology 特権 EXEC コマンドを入力します。

rep stcn

REP Segment Topology Change Notification（STCN; セグメントトポロジ変更通知）を他のインターフェイス、他のセグメントまたは Spanning Tree Protocol（STP）ネットワークに送信する設定を行うには、Resilient Ethernet Protocol（REP）エッジポート で rep stcn インターフェイスコンフィギュレーションコマンドを使用します。インターフェイス、セグメント、STP ネットワークに STCN の送信をディセーブルにするには、このコマンドの no 形式を使用します。

rep stcn { interface interface-id | segment id-list | stp }

no rep stcn { interface | segment | stp }

シンタックスの説明

interface interface-id	STCN を受信する物理インターフェイスまたはポートチャネルを指定します。
segment id-list	STCN を受信する REP セグメント 1 つまたは一連のセグメントを指定します。指定できる範囲は 1 ～ 1024 です。セグメントのシーケンス（例：3-5, 77, 100）も指定できます。
stp	STCN を STP ネットワークに送信します。

デフォルト

他のインターフェイス、セグメントまたは、STP ネットワークへの STCN 送信はディセーブルです。

コマンドモード

インターフェイスコンフィギュレーション

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

セグメントエッジポートにこのコマンドを入力します。

このコマンドを使用してローカル REP セグメントで発生したトポロジ変更をレイヤ 2 ネットワークの他の箇所に通知します。これにより、ネットワークの他の箇所にあるレイヤ 2 フォワーディングテーブルの無効なエントリが削除されます。その結果、ネットワークコンバージェンスが高速になります。

例

次の例では、REP プライマリエッジポートでセグメント 25 ～ 50 に STCN を送信する設定方法を示します。

Switch (config)# interface gigabitethernet1/2

Switch (config-if)# rep stcn segment 25-50

Switch (config-if)# exit

設定を確認するには、 show interfaces rep detail 特権 EXEC コマンドを入力します。

reserved-only

Dynamic Host Configuration Protocol（DHCP）アドレスプール内で予約済のアドレスだけを割り当てるには、 reserved-only DHCP プールコンフィギュレーションモードコマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

reserved-only

no reserved-only

シンタックスの説明

このコマンドには、引数またはキーワードはありません。

デフォルト

デフォルトでは、プールアドレスは制限されません。

コマンドモード

特権 EXEC

コマンドの履歴

リリース	変更内容
12.2(50)SE	このコマンドが追加されました。

使用上のガイドライン

reserved-only コマンドを入力すると、DHCP プールからの割り当てが予約済のアドレスに制限されます。ネットワークに含まれているアドレスやプール範囲にあるアドレスでも、予約されていないアドレスはクライアントに提供されず、他のクライアントには DHCP プールのサービスが提供されません。

ユーザはこのコマンドを使用して、DHCP プールを装備した 1 組のスイッチが共通の IP サブネットを共有し、他のスイッチのクライアントからの要求を無視するように設定できます。

DHCP プールコンフィギュレーションモードにアクセスするには、 ip dhcp pool name グローバルコンフィギュレーションコマンドを入力します。

例

次の例では、予約済のアドレスだけを割り当てるように DHCP プールを設定する方法を示します。

Switch# config t

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)# ip dhcp pool test1

Switch(dhcp-config)# reserved-only

設定を確認するには、 show ip dhcp pool 特権 EXEC コマンドを入力します。

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

コマンド	説明
debug auto qos	auto-QoS 機能のデバッグをイネーブルにします。
mls qos cos	デフォルトのポート CoS 値を定義するか、あるいはポートのすべての着信パケットにデフォルトの CoS 値を割り当てます。
mls qos map { cos-dscp dscp1 ... dscp8 \| dscp-cos dscp-list to cos }	CoS/DSCP マップまたは DSCP/CoS マップを定義します。
mls qos queue-set output buffers	バッファをキューセットに割り当てます。
mls qos srr-queue input bandwidth	Shaped Round Robin（SRR; シェイプドラウンドロビン）の重みを入力キューに割り当てます。
mls qos srr-queue input buffers	入力キュー間にバッファを割り当てます。
mls qos srr-queue input cos-map	CoS 値を入力キューにマッピング、または CoS 値をキューおよびしきい値 ID にマッピングします。
mls qos srr-queue input dscp-map	DSCP 値を入力キューにマッピング、または DSCP 値をキューおよびしきい値 ID にマッピングします。
mls qos srr-queue input priority-queue	入力プライオリティキューを設定し、帯域幅を保証します。
mls qos srr-queue output cos-map	CoS 値を出力キューにマッピング、または CoS 値をキューおよびしきい値 ID にマッピングします。
mls qos srr-queue output dscp-map	DSCP 値を出力キューにマッピング、または DSCP 値をキューおよびしきい値 ID にマッピングします。
mls qos trust	ポートの信頼状態を設定します。
queue-set	キューセットに対するポートをマッピングします。
show auto qos	auto-QoS 情報を表示します。
show mls qos interface	ポートレベルで QoS 情報を表示します。
srr-queue bandwidth shape	シェーピングされた重みを割り当て、ポートにマッピングされた出力キュー 4 つで帯域幅をシェーピングします。
srr-queue bandwidth share	共有する重みを割り当て、ポートにマッピングされた出力キュー 4 つで帯域幅を共有します。

コマンド	説明
aaa authentication dot1x	IEEE 802.1x が動作しているインターフェイスで使用する 1 つまたは複数の AAA を指定します。
aaa new-model	AAA アクセス制御モデルをイネーブルにします。構文情報については、「Cisco IOS Security Command Reference, Release 12.2」>「Authentication, Authorization, and Accounting」>「Authentication Commands」を参照してください。
dot1x reauthentication	定期的な再認証をイネーブルまたはディセーブルにします。
dot1x timeout reauth-period	再認証の間隔（秒）を指定します。

コマンド	説明
authentication control-direction	ポートを単一方向モードまたは双方向モードに設定します。
authentication fallback	クライアントが IEEE 802.1x 認証をサポートしていない場合のフォールバック方式として Web 認証を使用するようにポートを設定します。
authentication host-mode	ポート上で認証マネージャモードを設定します。
authentication open	ポート上でオープンアクセスをイネーブルまたはディセーブルにします。
authentication order	ポート上で使用される認証方式の順序を設定します。
authentication periodic	ポート上で再認証をイネーブルまたはディセーブルにします。
authentication port-control	ポートの許可ステートの手動制御をイネーブルにします。
authentication priority	認証方式をポートプライオリティリストに追加します。
authentication timer	802.1x 対応ポートのタイムアウトと再認証のパラメータを設定します。
authentication violation	新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続されたあとに新しいデバイスがそのポートに接続された場合に発生する違反モードを設定します。
show authentication	スイッチ上の認証マネージャイベントに関する情報を表示します。

コマンド	説明
channel-protocol	チャネリングを管理するため、ポート上で使用されるプロトコルを制限します。
interface port-channel	ポートチャネルへのアクセスや、ポートチャネルの作成を行います。
show etherchannel	チャネルの EtherChannel 情報を表示します。
show lacp	LACP チャネルグループ情報を表示します。
show pagp	PAgP チャネルグループ情報を表示します。
show running-config	現在の動作設定を表示します。構文情報については、「Cisco IOS Configuration Fundamentals Command Reference, Release 12.2」>「File Management Commands」>「Configuration File Management Commands」を選択してください。

コマンド	説明
channel-group	EtherChannel グループにイーサネットポートを割り当てます。
show etherchannel protocol	EtherChannel のプロトコル情報を表示します。

コマンド	説明
cip security	CIP セキュリティオプションを設定します。
show cip	CIP サブシステムに関する情報を表示します。

コマンド	説明
cip enable	VLAN 上で CIP をイネーブルにします。
show cip	CIP サブシステムに関する情報を表示します。

コマンド	説明
dot1x credentials (global configuration) profile	サプリカントスイッチにプロファイルを設定します。
show cisp	特定のインターフェイスの CISP 情報を表示します。

コマンド	説明
class-map	名前を指定したクラスとパケットとの比較に使用されるクラスマップを作成します。
police	分類したトラフィックにポリサーを定義します。
policy-map	複数のポートに適用することによってサービスポリシーを指定できるポリシーマップを作成または変更します。
set	パケットに DSCP 値または IP precedence 値を設定することによって、IP トラフィックを分類します。
show policy-map	QoS（Quality of Service）ポリシーマップを表示します。
trust	class ポリシーマップコンフィギュレーションコマンドまたは class-map グローバルコンフィギュレーションコマンドを使用して分類されたトラフィックの信頼状態を定義します。

コマンド	説明
class	指定されたクラスマップ名のトラフィック分類一致条件（ police 、 set 、および trust ポリシーマップクラスコンフィギュレーションコマンドによる）を定義します。
match (class-map configuration)	トラフィックを分類するための一致条件を定義します。
policy-map	複数のポートに適用することによってサービスポリシーを指定できるポリシーマップを作成または変更します。
show class-map	QoS クラスマップを表示します。

コマンド	説明
errdisable detect cause	特定の原因、またはすべての原因に対して errdisable 検出をイネーブルにします。
errdisable recovery	回復メカニズム変数を設定します。
show errdisable detect	errdisable 検出ステータスを表示します。
show errdisable recovery	errdisable 回復タイマー情報を表示します。
show interfaces status err-disabled	errdisable ステートになっているインターフェイスのリストのインターフェイスステータスを表示します。

コマンド	説明
arp access-list	ARP アクセスコントロールリスト（ACL）を定義します。
ip arp inspection log-buffer	ダイナミック ARP インスペクションログバッファを設定します。
ip arp inspection vlan logging	VLAN 単位で記録するパケットのタイプを制御します。
show inventory log	ダイナミック ARP インスペクションログバッファの設定と内容を表示します。

コマンド	説明
ip dhcp snooping	VLAN 上で DHCP スヌーピングをイネーブルにします。
ip dhcp snooping database	DHCP スヌーピングバインディングデータベースエージェントまたはバインディングファイルを設定します。
show ip dhcp snooping binding	DHCP スヌーピングデータベースエージェントのステータスを表示します。
show ip dhcp snooping database	DHCP スヌーピングバインディングデータベースエージェントの統計情報を表示します。
show ip dhcp snooping statistics	DHCP スヌーピングの統計情報を表示します。

コマンド	説明
mac address-table notification	MAC アドレス通知機能をイネーブルにします。
show mac access-group	MAC アドレステーブルのスタティックエントリおよびダイナミックエントリを表示します。
show mac address-table notification	すべてのインターフェイスまたは指定されたインターフェイスに対する MAC アドレス通知設定を表示します。
snmp trap mac-notification change	特定のインターフェイス上の Simple Network Management Protocol（SNMP; 簡易ネットワーク管理プロトコル）MAC アドレス通知トラップをイネーブルにします。

コマンド	説明
mac address-table move update { receive \| transmit }	スイッチ上の MAC アドレステーブル移行更新を設定します。
show mac address-table move update	スイッチに MAC アドレステーブル移行更新情報を表示します。

コマンド	説明
switchport port-security	インターフェイス上でポートセキュリティをイネーブルにします。
switchport port-security mac-address mac-address	セキュア MAC アドレスを設定します。
switchport port-security maximum value	セキュアインターフェイスにセキュア MAC アドレスの最大数を設定します。
show port-security	インターフェイスまたはスイッチに定義されたポートセキュリティ設定を表示します。

コマンド	説明
show spanning-tree	スパニングツリーステート情報を表示します。
spanning-tree link-type	デフォルトリンクタイプ設定を上書きし、スパニングツリーがフォワーディングステートに高速移行できるようにします。

コマンド	説明
show cluster	スイッチが属するクラスタのステータスおよびサマリーを表示します。
show cluster candidates	候補スイッチのリストを表示します。

コマンド	説明
standby ip	インターフェイスで HSRP をイネーブルにします。構文情報については、「Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2」>「IP Services Commands」を選択してください。
show cluster	スイッチが属するクラスタのステータスおよびサマリーを表示します。
show standby	スタンバイグループ情報を表示します。構文情報については、「Cisco IOS IP Command Reference, Volume 1 of 3:Addressing and Services, Release 12.2」>「IP Services Commands」を選択してください。

コマンド	説明
interface range	複数のポートで 1 つのコマンドを同時に実行します。
show running-config	定義されたマクロを含む現在の動作設定を表示します。構文情報については、「Cisco IOS Configuration Fundamentals Command Reference, Release 12.2」>「File Management Commands」>「Configuration File Management Commands」を選択してください。

コマンド	説明
ipv6 access-list	IPv6 アクセスリストを拒否し、IPv6 アクセスリストコンフィギュレーションモードを開始します。
ipv6 traffic-filter	インターフェイス上の着信または発信 IPv6 トラフィックをフィルタリングします。
permit (IPv6 access-list configuration)	IPv6 アクセスリストに許可条件を設定します。
show ipv6 access-list	現在の IPv6 アクセスリストすべての内容を表示します。

Cisco IE 3000 スイッチ コマンド リファレンス

偏向のない言語

翻訳について

検索結果

章のタイトル： Cisco IE 3000 スイッチ Cisco IOS コマンド-1

Cisco IE 3000 スイッチ Cisco IOS コマンド

aaa accounting dot1x

シンタックスの説明

デフォルト

コマンド モード

コマンドの履歴

使用上のガイドライン

例

関連コマンド

aaa authentication dot1x

シンタックスの説明

デフォルト

コマンド モード

コマンドの履歴

使用上のガイドライン

例

関連コマンド

aaa authorization network

シンタックスの説明

デフォルト

コマンド モード

コマンドの履歴

使用上のガイドライン

例

関連コマンド

action

シンタックスの説明

デフォルト

コマンド モード

コマンドの履歴

使用上のガイドライン

例

関連コマンド

alarm facility fcs-hysteresis

シンタックスの説明

デフォルト

コマンド モード

コマンドの履歴

使用上のガイドライン

例

関連コマンド

alarm facility power-supply

シンタックスの説明

デフォルト

コマンド モード

コマンドの履歴

使用上のガイドライン

例

関連コマンド

alarm facility temperature

シンタックスの説明

デフォルト

コマンド モード

コマンドの履歴

使用上のガイドライン

例

関連コマンド

alarm profile (global configuration)

シンタックスの説明

デフォルト

コマンド モード

コマンドの履歴

使用上のガイドライン

例

関連コマンド

alarm profile (interface configuration)

シンタックスの説明

デフォルト

コマンド モード

コマンドの履歴

使用上のガイドライン

例

関連コマンド

alarm relay-mode

シンタックスの説明

Cisco IE 3000 スイッチコマンドリファレンス

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンドモード

コマンド	説明
mac access-list extended	非 IP トラフィック用に MAC アドレスベースのアクセスリストを作成します。
permit (MAC access-list configuration)	条件が一致した場合に非 IP トラフィックが転送されるのを許可します。
show access-lists	スイッチに設定された ACL を表示します。

コマンド	説明
dot1x critical (global configuration)	スイッチ上で、アクセス不能な認証バイパス機能のパラメータを設定します。
dot1x guest-vlan	アクティブ VLAN をイネーブルにし、IEEE 802.1x ゲスト VLAN として指定します。
dot1x port-control	ポートの許可ステートの手動制御をイネーブルにします。
show dot1x [ interface interface-id ]	指定したポートの IEEE 802.1x ステータスを表示します。

コマンド	説明
dot1x auth-fail vlan [ vlan id]	オプションの制限 VLAN の機能をイネーブルにします。
dot1x max-reauth-req [ count]	ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再起動する最大回数を設定します。
show dot1x [ interface interface-id ]	指定したポートの IEEE 802.1x ステータスを表示します。

コマンド	説明
dot1x auth-fail max-attempts [ max-attempts]	サプリカントを制限 VLAN に割り当てる前に、試行可能な認証回数を設定します。
show dot1x [ interface interface-id ]	指定したポートの IEEE 802.1x ステータスを表示します。

コマンド	説明
cisp enable	Client Information Signalling Protocol（CISP）をイネーブルにします。
show cisp	特定のインターフェイスの CISP 情報を表示します。

コマンド	説明
dot1x critical (interface configuration)	アクセス不能な認証バイパス機能をイネーブルにし、この機能にアクセス VLAN を設定します。
show dot1x	指定したポートの IEEE 802.1x ステータスを表示します。

コマンド	説明
dot1x critical (global configuration)	スイッチ上で、アクセス不能な認証バイパス機能のパラメータを設定します。
show dot1x [ interface interface-id ]	指定したポートの IEEE 802.1x ステータスを表示します。

コマンド	説明
dot1x	オプションのゲスト VLAN のサプリカント機能をイネーブルにします。
show dot1x [ interface interface-id ]	指定したポートの IEEE 802.1x ステータスを表示します。

コマンド	説明
dot1x max-req	スイッチが認証プロセスを再起動する前に、EAP フレームを認証サーバに送信する最高回数を設定します（応答を受信しないと仮定）。
dot1x timeout tx-period	スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。
show dot1x [ interface interface-id ]	指定したポートの IEEE 802.1x ステータスを表示します。

コマンド	説明
show dot1x	スイッチまたは指定されたポートの IEEE 802.1x 統計情報、管理ステータス、および動作ステータスを表示します。
show eap	スイッチまたは特定のポートの EAP のレジストレーション情報およびセッション情報を表示します。